Yazar: Övgü Kaya
QNAP, ağ depolama ürünleri ve ağ sunucuları üreten bir şirkettir. Photo Station, kullanıcılara QNAP NAS (Network Attached Storage) cihazlarında fotoğraf ve video koleksiyonlarını yönetmelerini ve paylaşmalarını sağlayan bir uygulamadır.
“DeadBolt Fidye Yazılımı (QSA-22-24)” olarak adlandırılan bir fidye yazılımıdır. Fidye yazılımlarının QNAP Photo Station veya QNAP NAS cihazları üzerinde yaygın olarak görülen bir tür siber saldırıdır.
Uzak QNAP NAS üzerinde çalışan Photo Station sürümü bir fidye yazılım güvenlik açığından etkileniyor. Photo Station çalıştıran QNAP NAS’ın da bundan etkilendiği belirlenmiştir. Bu, kötüye kullanılırsa, bir saldırganın sistem dosyalarını değiştirmesine izin verebilir.
Aşağıdaki linke tıklayarak bu zafiyetten nasıl korunabileceğinizle ilgili qnap açıklamasına ulaşarak yamaları uygulayabilir veya okumaya devam edebilirsiniz.
Dağıtıcı firmanın yama önerisi
https://www.qnap.com/en/security-advisory/qsa-22-24
Çözüm Önerisi:
- Yönlendiricideki bağlantı noktası iletme işlevini devre dışı bırakın.
- Güvenli uzaktan erişimi etkinleştirmek ve internete maruz kalmayı önlemek için NAS üzerinde myQNAPcloud’u kurun.
- NAS’taki tüm uygulamaları en son sürümlerine güncelleyin.
- NAS’taki tüm kullanıcı hesapları için güçlü parolalar uygulayın.
- Verilerinizi korumak için anlık görüntüler alın ve düzenli olarak yedekleyin.
- myQNAPcloud’u açın.
- UPnP bağlantı noktası iletmeyi devre dışı bırakın.
- 3Otomatik Yönlendirici Yapılandırması’na gidin .
- UPnP Port yönlendirmeyi etkinleştir seçimini kaldırın
- DDNS’yi etkinleştirin.
- My DDNS’yi etkinleştirmek için seçim düğmesine tıklayın .
- Yayınlanmış Hizmetler’e gidin
- Yayınla altındaki tüm öğelerin seçimini kaldırın. Uygula’yı tıklayın .
- myQNAPcloud Link’i NAS’ınıza kurmak için Kur’a tıklayın
- myQNAPcloud Link’i etkinleştirmek için seçim düğmesine tıklayın. Hangi kullanıcıların SmartURL aracılığıyla NAS’ınıza uzaktan erişebileceğini kısıtlayın.
- Cihaz erişim denetimleri’nin yanında Özel veya Özelleştirilmiş’i seçin.
- Not: Özel’i seçmek, yalnızca myQNAPcloud’da oturum açmış QNAP Kimliğinin SmartURL aracılığıyla NAS’a erişmesine izin verir. Özelleştirilmiş’i seçmek, diğer QNAP ID hesaplarını SmartURL yoluyla cihaza erişmeye davet etmenizi sağlar.
- Özelleştirilmiş’i seçtiyseniz , Ekle’ye tıklayın ve kullanıcıyı davet etmek için bir QNAP Kimliği belirtin.
- Genel Bakış’a giderek SmartURL’yi edinin
NAS üretici yazılımını ve tüm uygulamaları en son sürüme güncelleyin.
Aşağıda verilen güvenlik güncellemeleri verilen güvenlik açığını giderir:
QTS 5.0.1: Photo Station 6.1.2 ve sonrası
QTS 5.0.0/4.5.x: Photo Station 6.0.22 ve sonrası
QTS 4.3.6: Photo Station 5.7.18 ve sonrası
QTS 4.3.3: Photo Station 5.4.15 ve sonrası
QTS 4.2.6: Photo Station 5.2.14 ve sonrası
Tüm Uygulamaları Güncelleme
- QTS’de yönetici olarak oturum açın.
- Uygulama Merkezi’ni açın.
- Pencerenin sağ üst köşesinde Güncellemeleri Yükle’yi bulun . Tümü’nü tıklayın.
- Pencerenin sağ üst köşesinde Güncellemeleri Yükle’yi bulun . Tümü’nü tıklayın.
- QTS, tüm uygulamaların en son sürümlerini yükler.
Photo Station’ı Güncelleme
1QTS’de yönetici olarak oturum açın.
- QTS’de yönetici olarak oturum açın.
- App Center’ı açın ve ardından öğesine tıklayın.
- “Photo Station” girin.
- Güncelle’yi tıklayın .
- Bir onay mesajı görünür. Tamam’ı tıklayın.
- Not: Sürümünüz zaten güncelse güncelle düğmesi kullanılamaz
- Uygulama güncellendi.
NAS’taki tüm kullanıcı hesapları için güçlü parolalar uygulayın.
Verilerinizi korumak için anlık görüntüler alın ve düzenli olarak yedekleyin.
- Bir diğer yöntem olarak QNAP, kullanıcıların Photo Station uygulamasını QNAP NAS cihazları için daha güvenli bir fotoğraf depolama aracı olan QuMagie ile değiştirmeleri önerilir.
SeImpersonatePrivlege, ayrıcalık yükseltmenin ötesinde, Active Directory ortamına saldırılar gerçekleştirirken yanal harekette de büyük bir rol oynar.
Peki buna önlem olarak ne yapılabilir?
Bilgisayar Yapılandırması >> Windows Ayarları >> Güvenlik Ayarları >> Yerel İlkeler >> Kullanıcı Hakları Ataması >> “Kimlik doğrulamasından sonra istemcinin kimliğine bürün” için ilke değerini yalnızca aşağıdaki grupları veya hesapları içerecek şekilde yapılandırabilirsiniz:
Yöneticiler
YEREL SERVİS
AĞ HİZMETİ
SERVİS