Asustor, üreticinin güncellenmiş bir sürümle kapattığı Asustor Data Master (ADM) NAS işletim sisteminde beş güvenlik açığı bildirdi. Üretici boşlukları yüksek risk olarak sınıflandırıyor. Bu nedenle Asustor NAS’ı kullanan herkes güncellemeleri hızlı bir şekilde indirip yüklemelidir.
Duyuru
Asustor: NAS cihazlarına ağdan saldırı yapılabilir
Ağdaki kayıtlı olmayan saldırganlar, iletilen verilerin yetersiz filtrelenmesi nedeniyle keyfi komutlar verebilir. Asustor, güvenlik bildiriminde bunun nasıl çalıştığını açıklamak istemiyor ancak bunun yerine “belirtilmemiş saldırı vektörlerinden” (CVE-2023-2910, CVSS) bahsediyor 8.8risk”yüksek“). Güvenlik açığı, “kritik” olarak sınıflandırılmaya çok yakın.
Başka bir güvenlik açığı, yerel kullanıcıların izinsiz olarak yapılandırmayı değiştirmesine olanak tanır (CVE-2023-3699, CVSS 8.7, yüksek). Yazıcı hizmetinde, kimliği doğrulanmamış ağ kullanıcıları beklenen dizin yapılarının ötesinde gezinebilir ve dosyalar oluşturabilir (CVE-2023-3697, CVSS) 8.5, yüksek) ve silin (CVE-2023-3698, CVSS 8.5, yüksek). Ayrıca kötü niyetli yazarlar, dosyaları istenmeyen dizinlere taşımak için dosya yeniden adlandırma özelliğini kötüye kullanabilirler (CVE-2023-4475, CVSS 7.5, yüksek).
Bahsedilen güvenlikle ilgili tüm hatalar, Asustor Data Master (ADM) 4.2.3 RK91 veya sonraki sürüme güncellenerek düzeltildi; Şube 4.0, 4.1 ve 4.2’nin ADM sürümleri etkilenir. Asustor kullanıcılarının olası saldırıların kurbanı olmamak için güncellemeyi hızlı bir şekilde yüklemeleri gerekiyor.
Bunu yapmak için yöneticiler, oturum açtıklarında mevcut güncellemeleri kendilerine bildiren Canlı Güncelleme’yi açabilir veya belirtilen süre içinde güncellemeleri kontrol eden ve yükleyen otomatik ve planlanmış güncellemeleri ayarlayabilir. Kullanılan cihazı belirledikten sonra Asustor destek sitesinden indirilebilen bir ADM görüntüsüyle manuel güncelleme mümkündür.
Geçmişte Asustor donanım yazılımındaki güvenlik açıklarına, diğerlerinin yanı sıra Deadbolt fidye yazılımı tarafından saldırı düzenlendi.
Duyuru
(Bilmiyorum)
Haberin Sonu
Duyuru
Asustor: NAS cihazlarına ağdan saldırı yapılabilir
Ağdaki kayıtlı olmayan saldırganlar, iletilen verilerin yetersiz filtrelenmesi nedeniyle keyfi komutlar verebilir. Asustor, güvenlik bildiriminde bunun nasıl çalıştığını açıklamak istemiyor ancak bunun yerine “belirtilmemiş saldırı vektörlerinden” (CVE-2023-2910, CVSS) bahsediyor 8.8risk”yüksek“). Güvenlik açığı, “kritik” olarak sınıflandırılmaya çok yakın.
Başka bir güvenlik açığı, yerel kullanıcıların izinsiz olarak yapılandırmayı değiştirmesine olanak tanır (CVE-2023-3699, CVSS 8.7, yüksek). Yazıcı hizmetinde, kimliği doğrulanmamış ağ kullanıcıları beklenen dizin yapılarının ötesinde gezinebilir ve dosyalar oluşturabilir (CVE-2023-3697, CVSS) 8.5, yüksek) ve silin (CVE-2023-3698, CVSS 8.5, yüksek). Ayrıca kötü niyetli yazarlar, dosyaları istenmeyen dizinlere taşımak için dosya yeniden adlandırma özelliğini kötüye kullanabilirler (CVE-2023-4475, CVSS 7.5, yüksek).
Bahsedilen güvenlikle ilgili tüm hatalar, Asustor Data Master (ADM) 4.2.3 RK91 veya sonraki sürüme güncellenerek düzeltildi; Şube 4.0, 4.1 ve 4.2’nin ADM sürümleri etkilenir. Asustor kullanıcılarının olası saldırıların kurbanı olmamak için güncellemeyi hızlı bir şekilde yüklemeleri gerekiyor.
Bunu yapmak için yöneticiler, oturum açtıklarında mevcut güncellemeleri kendilerine bildiren Canlı Güncelleme’yi açabilir veya belirtilen süre içinde güncellemeleri kontrol eden ve yükleyen otomatik ve planlanmış güncellemeleri ayarlayabilir. Kullanılan cihazı belirledikten sonra Asustor destek sitesinden indirilebilen bir ADM görüntüsüyle manuel güncelleme mümkündür.
Geçmişte Asustor donanım yazılımındaki güvenlik açıklarına, diğerlerinin yanı sıra Deadbolt fidye yazılımı tarafından saldırı düzenlendi.
Duyuru
(Bilmiyorum)
Haberin Sonu