Tayvan merkezli network çözümleri üreticisi QNAP, ürün yelpazesinde yer alan bazı ağ depolama cihazlarındaki (NAS) önemli zafiyetleri giderdiğini duyurdu.
Photo Station yazılımının 5.4.10, 5.7.13 veya 6.0.18’den önceki sürümlerini etkileyen güvenlik açıkları, siber tehdit unsurlarının NAS cihazlarında uzaktan zararlı kodların çalıştırmalarına olanak tanıyor.
CVE-2021-34354, CVE-2021-34356 ve CVE-2021-34355 kodlu zafiyetler depolanmış Cross Site Scripting (XSS) güvenlik açıkları olarak duyuruldu.
Zafiyetler, siber tehdit unsurlarının sistemlere zararlı kodları uzaktan enjekte etmesine ve hedeflenen sunucularda kalıcı olarak depolamasına imkan veriyor.
YAZILIMLAR SON VERSİYONLARINA GÜNCELLENMELİ
Firma ayrıca, saldırganların rastgele komutlar çalıştırmasına yol açan QVR IP video gözetim yazılımını çalıştıran bazı kullanım ömrü dolmuş cihazları etkileyen CVE-2021-34352 kodlu komut enjeksiyon zafiyetini giderdi. Söz konusu zafiyeti istismar eden saldırganlar, güvenliği ihlal edilmiş ağ depolama cihazlarının tamamen ele geçirebiliyor.
Kullanıcıların QNAP NAS cihazlarında yazılımları en kısa zamanda son sürümlere güncellemeleri tavsiye ediliyor.
QNAP, geçen yıl eylül ayında NAS cihazlarına yönelik fidye yazılımı saldırılarında artış olabileceğine ilişkin uyarılarda bulunmuştu.