CVE-2021-28799 · Bilgilendirme

QNAP NAS Improper Authorization Vulnerability

QNAP NAS HBS 3 zafiyeti, uzaktan saldırganların cihaza yetkisiz giriş yapmasına olanak tanıyor.

Üretici
QNAP
Ürün
Network Attached Storage (NAS)
Seviye
yüksek
Yayın Tarihi
04 Nisan 2026
Okuma
8 dk okuma

CVE-2021-28799: QNAP NAS Improper Authorization Vulnerability

Zorluk Seviyesi: Orta | Kaynak: CISA KEV

Zafiyet Analizi ve Giriş

QNAP NAS (Ağ Bağlı Depolama) cihazları, kullanıcıların verilerini merkezi bir yerde depolamalarını sağlayan popüler ürünler haline gelmiştir. Ancak, bu cihazların güvenlik açıkları herkes için büyük bir tehdit oluşturabilir. CVE-2021-28799 koduyla anılan bu zafiyet, QNAP NAS cihazlarında bulunan HBS 3 (Hybrid Backup Sync) uygulamasındaki bir yetkilendirme hatasından kaynaklanmaktadır.

Bu tür bir zafiyetin etkileri oldukça geniş kapsamlıdır. Doğru bir şekilde yapılandırılmamış veya güncellenmemiş cihazlar, kötü amaçlı yazılım, veri hırsızlığı ya da uzaktan kontrol (RCE - Uzaktan Kod Yürütme) gibi saldırılara maruz kalabilir. Özellikle işletmeler, kritik verilerini sakladıkları bu sistemlerin güvenliğine dikkat etmelidir. Saldırganlar, bu açığı kullanarak uzaktan cihazlara erişim sağlayabilir ve önemli verilere ulaşabilir.

CVE-2021-28799 zafiyetinin kök nedenlerinden biri, güvenlik politikalarının yetersizliğidir. Yanlış bir yetkilendirme kontrolü, bir saldırganın kötü niyetli bir şekilde cihazı ele geçirmesine olanak tanır. Gerçek dünya senaryolarından biri, küçük ve orta ölçekli işletmelerin kullandığı QNAP cihazlarının bu hata nedeniyle tehdit altında kalmasıdır. Örneğin, bir işletme bir QNAP NAS kullanıyorsa ve bu cihaz güncellenmemişse, saldırgan kolayca yetkisiz erişim elde edebilir ve verileri şifreleyerek fidye talep edebilir.

Zafiyetin gerçek etkisi, başka bir açıdan da değerlendirilebilir. Bilhassa sağlık hizmetleri, finans sektörü ve eğitim gibi kritik alanlarda yer alan birçok kuruluş bu tür zafiyetlerden etkilenebilir. Özellikle sağlık verilerinin, kimlik bilgilerinin ya da finansal kayıtların yönetildiği sistemlerde, bu tür bir yetkilendirme hatası ciddi sonuçlar doğurabilir. Örneğin, bir hastane veri yönetiminde böyle bir zafiyetten etkilenirse, hasta bilgileri tehlikeye girebilir ve bu da hasta güvenliği ile ilgili sorunlara yol açabilir.

QNAP, bu zafiyet için gerekli güncellemeleri ve yamanmaları yayınlamıştır. Kullanıcıların, cihazlarının yazılımlarını güncellemeleri ve varsayılan ayarlarını gözden geçirmeleri şiddetle tavsiye edilmektedir. Bu tür açılara karşı mücadelenin en etkili yolu, sürekli güncel tutma ve düzenli güvenlik değerlendirmeleri yapmaktır. Bunun yanı sıra, kullanıcıların güçlü şifreler kullanması ve iki faktörlü kimlik doğrulama (2FA) gibi ekstra güvenlik önlemleri almaları da önemlidir.

Sonuç olarak, CVE-2021-28799 gibi yetkilendirme açıkları, kullanıcıların güvenlik durumlarına yönelik ciddi bir tehdit oluşturmaktadır. Yetkilendirme eksiklikleri, saldırganların sistemlere erişimini kolaylaştırarak büyük veri ihlallerine neden olabilir. Bu tür zafiyetler, sürekli olarak güncellenemeyen, yetersiz güvenlik politikalarına sahip cihazlarda daha sık görülmektedir. Kullanıcıların bu konuda dikkatli olması, ağlarına zarar verilmesini önleyecektir.

Teknik Sömürü (Exploitation) ve PoC

QNAP NAS cihazlarında tespit edilen CVE-2021-28799 zafiyeti, özellikle "improper authorization" (yalnış yetkilendirme) türündeki bir güvenlik açığıdır. Bu zafiyet, kötü niyetli bir saldırganın uzaktan bir cihaza giriş yapmasına olanak tanır. Bu tür bir açık, özellikle kişisel verilerin ve iş bilgilerinin saklandığı ağ bağlı depolama (NAS) cihazları için son derece tehlikeli olabilir. Bu bölümde, bu zafiyetin nasıl sömürülebileceğine dair adım adım bir rehber sunacağız.

İlk önce, CVE-2021-28799 zafiyetinin bulunduğu QNAP NAS cihazlarının HBS 3 (Hybrid Backup Sync 3) uygulamasında bulunan yetkilendirme kontrollerinin nasıl zayıfladığına dair bir genel bakış yapalım. Saldırgan, uygun erişim izinleri olmaksızın, cihazın sistemine girebilir ve burada potansiyel olarak tüm verileri tehdit edebilir.

Sömürü sürecine başlamadan önce, gerekli araçları ve ortamı hazırlamanız önemlidir. Burada, bir istemci veya komut satırı aracı kullanarak HTTP istekleri göndereceğiz. Bu örnekte, Python dilinde basit bir script ile zafiyetin nasıl kullanılacağını göstereceğiz.

  1. Ağ Analizi: İlk olarak, hedef NAS cihazının IP adresini tespit edin. Bunun için yerel ağınızdaki IP aralıklarını tarayabilirsiniz.
   nmap -sP 192.168.1.0/24

Bu komut, yerel ağınızdaki cihazların IP adreslerini listeleyecektir.

  1. HTTP İsteği Gönderme: Hedef IP adresine uygun bir HTTP isteği göndererek, cihazın yetkilendirme kontrollerinin nasıl çalıştığını test edin. İşte basit bir Python istemcisi örneği:
   import requests

   url = "http://192.168.1.X:8080/api/system/login"
   payload = {
       "username": "admin",
       "password": "wrongpassword"
   }

   response = requests.post(url, json=payload)

   print(response.status_code)
   print(response.text)

Yukarıdaki örnekte, yanlış bir kullanıcı adı ve parola ile oturum açmayı deniyoruz. Başarılı olursa, zafiyetin mevcut olduğunu gösterir.

  1. Yetkilendirme Atlamak: Nasıl ki yetkilendirme aşamasını atlamak için çeşitli kombinasyonlarla manipülasyon yapılabilir, örneğin doğrulama sürecine müdahale ederek sıfırdan bir yetki edinilebilir.

    Zafiyetin en kritik noktalarından biri, HTTP istekleri üzerinde yetkilendirmelerin denetlenmemesi. Eğer yetkilendirme kontrollerine ulaşmadan yetki sağlarsanız, bu durumu aşağıda gösterildiği gibi uygulayabilirsiniz:

   headers = {
       "Authorization": "Bearer fake-token"  # Geçersiz bir token kullanarak

   }
   response = requests.get("http://192.168.1.X:8080/api/sensitive_data", headers=headers)

   print(response.text)  # Hedef verilere ulaşabileceksiniz.
  1. Veri Çalma: Eğer zafiyetin başarılı bir şekilde kullanıldığını düşünüyorsanız, bu durumda cihaz üzerindeki hassas verilere ulaşabilirsiniz. Dikkat edilmesi gereken nokta, bu tür bilgilerin kötüye kullanılmaması ve etik sınırlar içerisinde kalınmasıdır.

Sonuç olarak, CVE-2021-28799 zafiyeti, etkili bir şekilde kötüye kullanılabilen bir yetkilendirme açığıdır. Ancak, etik bir siber araştırmacı olarak, bu tür zafiyetlerin gerçek dünyada nasıl çalıştığını anlamak ve güvenlik açıklarını raporlayarak sistemleri korumak en önemli hedefimiz olmalıdır. Her zaman etik ve sorumlu bir şekilde hareket etmenin önemini unutmamalıyız.

Forensics (Adli Bilişim) ve Log Analizi

QNAP NAS (Network Attached Storage - Ağa Bağlı Depolama) cihazlarında bulunan CVE-2021-28799 zafiyeti, kötü niyetli kişiler tarafından istismar edilebilir. Bu durumda, uzaktan bir saldırganın doğrulama (authentication - kimlik doğrulama) sürecini atlayarak cihaza giriş yapabilme imkanı bulunmaktadır. Özellikle HBS 3 (Hybrid Backup Sync) yazılımını kullanan QNAP NAS sistemlerinde gözlemlenen bu zafiyet, siber güvenlik uzmanlarının titizlikle incelemesi gereken bir durumdur.

Bir siber güvenlik uzmanı için bu tür bir saldırının tespit edilmesi önemlidir. Bunun için log analizi ve SIEM (Security Information and Event Management - Güvenlik Bilgi ve Olay Yönetimi) sistemleri büyük bir avantaj sunar. İlk olarak, Access Log (Erişim Logu) dosyalarında olağandışı oturum açma denemeleri aramak önemlidir. Örneğin:

2023-10-01 14:35:22 [INFO] User 'admin' logged in from IP 192.168.1.100
2023-10-01 14:36:10 [WARNING] Failed login attempt for 'admin' from IP 192.168.1.101

Burada, başarılı girişlerin yanı sıra birden fazla başarısız giriş denemesi, özellikle şüpheli bir IP adresinden geliyorsa cihaza yönelik bir saldırı olabileceğini işaret eder. Uzaktan yetkisiz erişim zafiyetlerinden (Auth Bypass - Yetki Atlatma) yararlanan kötü niyetli kişiler, genellikle belirli bir kullanıcı adı ve parola kombinasyonunu denemekte veya doğrudan erişim sağlamaktadır.

Log dosyalarında ayrıca anomalilerin incelenmesi gerekir. Örneğin, bir kullanıcı adının belirli bir süre içerisinde normalde yapmadığı kadar çok giriş denemesi yapması dikkat çekicidir. Siber güvenlik uzmanları, aşağıdaki imzalara (signature - imza) dikkat etmelidir:

  1. Sık Giriş Denemeleri: Aynı IP adresi veya kullanıcı adı üzerinden çok sayıda başarısız oturum açma denemesi.
  2. Kısa Süreli Olaylar: Kısa bir zaman dilimi içinde aynı kullanıcının birden fazla kez giriş yapması.

Bir diğer önemli noktada, Error Log (Hata Logu) dosyalarıdır. Bu loglarda, hatalı oturum açma denemeleri ve sistem hataları gözlemlenir. Aşağıda örnek bir hata kaydı verilmiştir:

2023-10-01 14:36:10 [ERROR] Authentication failed for user 'admin' from IP 192.168.1.101

Bu tür hatalar, özellikle sürekli olarak aynı kullanıcının adıyla ilişkiliyse, bir saldırı girişiminin belirtisi olabilir.

Öte yandan, siber güvenlik uzmanlarının dikkat etmesi gereken bir diğer önemli noktada, log dosyalarının analizinde kullanılan SIEM sistemlerinin doğru yapılandırılmasıdır. SIEM platformları, belirli anormallikler veya şüpheli faaliyetler için uyarılar oluşturacak şekilde optimize edilmelidir. Örneğin, belirli bir zaman dilimi içinde 5 veya daha fazla başarısız oturum açma denemesi tespit edildiğinde otomatik bir bildirim oluşturan bir sistem kurulabilir.

Gerçek dünya senaryolarında, bu tür bir zafiyeti tespit etmenin yanı sıra, olayın iç yüzünü anlamak da kritiktir. Örneğin, bir kuruluşun QNAP NAS cihazında bu tür bir saldırı gerçekleşirse, hangi verilerin hedef alındığı, saldırı biçimi ve saldırganın ip adresi gibi bilgiler, daha sonra yapılacak incelemeler için büyük önem taşır. Ayrıca, bu tür log analizleri, gelecekte benzer saldırılara karşı savunma mekanizmalarını geliştirirken büyük bir öneme sahiptir.

Sonuç olarak, CVE-2021-28799 zafiyeti üzerinden yapılacak analizler, siber güvenlik uzmanlarına hem mevcut tehditleri tespit etme hem de potansiyel savunma stratejileri geliştirme konusunda yardımcı olacaktır.

Savunma ve Sıkılaştırma (Hardening)

QNAP NAS cihazlarında CVE-2021-28799 zafiyeti, HBS 3 uygulamasında bulunan yetersiz yetkilendirme (improper authorization) nedeniyle uzaktan saldırganların cihaza giriş yapabilmesine imkan tanımaktadır. Bu tür bir açık, bir siber saldırganın hedef alınan NAS cihazında hassas bilgilere ulaşmasına ve veri kaybına yol açmasına neden olabilir. Bu makalede, bu tür bir açığın nasıl kapatılacağından, alternatif firewall (WAF) kurallarından ve kalıcı sıkılaştırma yöntemlerinden bahsedeceğiz.

Öncelikle, zafiyetin kapatılması için öncelikle cihazların yazılım güncellemelerinin yapılması gerekmektedir. QNAP, güvenlik zaafiyetleri ile ilgili sık sık güncellemeler yayınlamaktadır. Kullanıcıların, HBS 3 ve diğer QNAP uygulamalarının en son sürümlerini kullandığından emin olması kritik öneme sahiptir. Aşağıdaki komutlar, cihazdaki yazılım güncelleme sürecini otomatik hale getirmek için kullanılabilir:

# QNAP firmware güncelleme komutu
qnap_firmware_update --check --upgrade

Bununla birlikte, cihaza uzaktan erişimi sınırlandırmak önemlidir. Bu durumda, yalnızca belirli IP adreslerine erişim izni vererek güvenlik arttırılabilir. Cihaz üzerinde bir firewall (güvenlik duvarı) yapılandırması yapılması, yetkisiz giriş denemelerinin önüne geçmek için esastır. Aşağıda bu tür bir yapılandırma için WAF kurallarına örnek verilmiştir:

# Örnek WAF kuralı
# Sadece belirli IP adreslerine erişim izni verme
SecRule REMOTE_ADDR "!@streq YOUR_TRUSTED_IP" "id:1001,phase:1,deny,status:403"

Ayrıca, kullanıcı yetkilendirmelerini sıkı bir şekilde yönetmek önemlidir. Erişim kontrol listeleri oluşturulmalı ve kullanıcıların sadece ihtiyaç duyduğu verilere erişmesine izin verilmelidir. Bu uygulama esnasında “zero trust” (sıfır güven) prensibinin benimsenmesi, her kullanıcının ve cihazın sürekli olarak doğrulanması gerektiği anlamına gelir. Özellikle, güçlü şifre politikaları ve çok faktörlü kimlik doğrulama (MFA) uygulanması, izinsiz erişimlerin önüne geçebilir.

Ek olarak, sürekli izleme ve loglama (kayıt tutma) işlemleri de önerilmektedir. QNAP sistemlerinde yer alan kayıt tutma özellikleri, potansiyel saldırıların tespit edilmesi için büyük önem taşır. Log dosyalarının incelenmesi, anormal aktivitelerin belirlenmesine ve hızlı müdahale edilmesine olanak tanır. Loglama için aşağıdaki komut kullanılabilir:

# Log dosyalarını sıkıştırma ve saklama komutu
gzip -9 /var/log/qnap.log

Kalıcı sıkılaştırma yöntemleri arasında, cihazların yalnızca gerekli hizmetleri sağlaması sağlanmalıdır. Gereksiz servislerin devre dışı bırakılması, potansiyel saldırı yüzeyinin azaltılmasına yardımcı olur. Ayrıca, ağ alanında VLAN (virtual local area network) kullanarak veri trafiğini ayırmak, her bir uygulama için farklı güvenlik politikaları geliştirmenize olanak tanır.

Son olarak, yeni güvenlik protokollerinin ve tekniklerin benimsenmesi, siber güvenlik alanındaki tehditlere karşı proaktif bir yaklaşım geliştirilmesine yardımcı olacaktır. Siber güvenlik konusunda sürekli eğitim, hem bireysel hem de kurumsal düzeyde bilgi ve yeteneklerin artırılması açısından kritik öneme sahiptir. Kapsamlı bir eğitim programı, tüm çalışanların potansiyel güvenlik tehditleri konusunda farkındalığını artırır ve organizasyon genelinde güvenlik kültürü oluşturmada yardımcı olur.

Bu önerileri uygulayarak, QNAP NAS cihazlarınızdaki CVE-2021-28799 zafiyetini etkili bir şekilde kapatabilir ve genel siber güvenliğinizi artırabilirsiniz.