QNAP, Windows yedekleme yazılımında tespit edilen kritik bir güvenlik açığına karşı kullanıcılarını uyardı. CVE-2025-55315 olarak takip edilen bu açık, şirketin NetBak PC Agent uygulamasını etkiliyor. Söz konusu yazılım, Windows kullanıcılarının verilerini QNAP ağa bağlı depolama cihazlarına yedeklemesine olanak tanıyor.
NetBak PC Agent ASP.NET Core Bileşenlerine Bağımlı Çalışıyor
Güvenlik açığı Kestrel ASP.NET Core web sunucusunda keşfedildi. Düşük ayrıcalıklı saldırganların bu açıktan yararlanarak diğer kullanıcıların kimlik bilgilerini ele geçirebileceği belirlendi. HTTP isteği sızma yöntemiyle ön uç güvenlik kontrollerinin atlatılması mümkün olabiliyor.
QNAP yaptığı açıklamada NetBak PC Agent kurulumu sırasında Microsoft ASP.NET Core bileşenlerini yüklediğini belirtti. Sistem güncellenmediği takdirde bu bileşenlerin etkilenen sürümlerinin bilgisayarda kalabileceği vurgulandı. Şirket kullanıcılara Windows sistemlerini en son Microsoft ASP.NET Core güncellemeleriyle güncellemelerini şiddetle tavsiye etti.
Sistemleri olası saldırılara karşı korumak için QNAP kullanıcılarına iki seçenek sunuldu. NetBak PC Agent uygulamasını yeniden yükleyerek en son ASP.NET Core çalışma zamanı bileşenlerini edinmek ilk seçenek olarak önerildi. ASP.NET Core’u manuel olarak güncellemek isteyen kullanıcılar .NET 8.0 indirme sayfasından en son ASP.NET Core Runtime paketini indirebiliyor.
.NET güvenlik teknik program yöneticisi Barry Dorrans iki hafta önce bu güvenlik açığının Microsoft tarafından düzeltildiğini açıklamıştı. Açık ASP.NET Core güvenlik açıkları arasında şimdiye kadar bildirilen en yüksek önem derecesini almıştı. CVE-2025-55315 saldırılarının etkisi hedeflenen ASP.NET uygulamasına göre değişiklik gösteriyor.
Başarılı bir sömürü saldırganların başka bir kullanıcı olarak oturum açmasına olanak tanıyabiliyor. Çapraz site isteği sahteciliği kontrollerinin atlatılması mümkün olabiliyor. Enjeksiyon saldırılarının gerçekleştirilmesi riski bulunuyor. QNAP kimliği doğrulanmış bir saldırganın özel olarak hazırlanmış HTTP istekleri gönderebileceğini belirtti. Yetkisiz erişim hassas verilere ulaşılmasına yol açabiliyor. Sunucu dosyalarının değiştirilmesi riski taşıyor. Sınırlı hizmet reddi koşulları oluşturulabiliyor.
QNAP ocak ayında da HBS 3 Hybrid Backup Sync 25.1.x için güvenlik güncellemeleri yayınlamıştı. Şirketin veri yedekleme ve olağanüstü durum kurtarma çözümü olan bu yazılımda altı rsync güvenlik açığı düzeltilmişti. Bu açıklar güncellenmemiş Ağa Bağlı Depolama cihazlarında kötü amaçlı kod yürütülmesine izin verebiliyordu.
Kullanıcıların sistem güvenliğini sağlamak için bu güncellemeleri acilen uygulaması önem taşıyor. QNAP cihazlarına yönelik güvenlik tehditleri son dönemde artış gösterdi. Düzenli güncelleme ve güvenlik denetimleri siber saldırılara karşı korunmanın temelini oluşturuyor.
ASP.NET Core bileşenlerinin güncellenmesi özellikle kurumsal ortamlarda büyük önem taşıyor. Ağa bağlı depolama cihazlarına erişimi bulunan sistemlerde bu güvenlik açığı geniş çaplı veri ihlallerine yol açabilir. QNAP kullanıcılarının güvenlik önerilerini dikkate alması sistem bütünlüğünün korunması açısından kritik rol oynuyor.
