QNAP Qsync Central’dagi jiddiy zaifliklar: foydalanuvchi hisoblariga ruxsatsiz kirish mumkin
2025-yil 7-iyun kuni QNAP Qsync Central 4.5.x versiyasida aniqlangan ikkita jiddiy zaiflik — CVE-2025-22482 va CVE-2025-29892 — ommaga e’lon qilindi. Ushbu zaifliklar tajovuzkorlarga ruxsatsiz tarzda tizimga kirish va muhim ma’lumotlarga yetib borish imkonini beradi.
CVE-2025-22482: Format satrlaridagi xatolik orqali xotirani buzish
Ushbu zaiflik C/C++ dasturlash tilidagi noto‘g‘ri format string ishlatishidan kelib chiqadi. Muammo shundaki, sprintf, fprintf yoki syslog kabi funksiyalar foydalanuvchi tomonidan kiritilgan ma’lumotlarni yetarlicha tekshirmasdan bajaradi.
Agar tizimga kirish imkoni bor bo‘lgan tajovuzkor format belgilarini (%x, %s, %n) kiritishga muvaffaq bo‘lsa:
- %p orqali stekdagi ma’lumotlarni o‘qishi,
- %s bilan xotiraning ixtiyoriy qismini ochib o‘qishi,
- %n orqali funksiya ko‘rsatkichlarini yoki xavfsizlik kalitlarini o‘zgartirishi mumkin.
Bu esa xotirani buzish, kod bajarishni yo‘lga qo‘yish, va hattoki ASLR xavfsizlik mexanizmini chetlab o‘tish imkonini beradi.
CVE-2025-29892: SQL inyeksiyasi orqali ma’lumotlar bazasiga hujum
Bu zaiflik Qsync Central dasturidagi dinamik SQL so‘rovlarining noto‘g‘ri tuzilishi natijasida yuzaga kelgan. Tajovuzkorlar username kabi kirish maydonlari orqali SQL kodini kiritib, avtorizatsiyadan o‘tmasdan soxta so‘rovlar yuborishi mumkin.
Ushbu zaiflik orqali:
- Ma’lumotlar bazasidagi jadval va ustunlar ochib olinadi;
- Hujumchi o‘ziga qo‘shimcha imtiyozlar qo‘shishi mumkin;
- Tizimdagi foydalanuvchilar parollarini, sessiyalarni yoki boshqa muhim konfiguratsiyalarni o‘zgartirish ehtimoli yuzaga keladi.
Texnik tavsif va xavf darajasi
| CVE raqami | Ta’sir doirasi | Ekspluatatsiya shartlari | CVSS 3.1 bahosi |
|---|---|---|---|
| CVE-2025-22482 | Format string zaifligi orqali xotira manipulyatsiyasi | Hisobga kirgan foydalanuvchi kerak | 7.8 (Yuqori) |
| CVE-2025-29892 | SQL inyeksiyasi orqali ruxsatsiz buyruq bajarish | Hisobga kirgan foydalanuvchi kerak | 8.1 (Yuqori) |
Himoyalanish choralari
QNAP kompaniyasi 2025-yil 20-mart sanasida chiqarilgan Qsync Central 4.5.0.6 versiyasida ushbu zaifliklarni tuzatgan. Shuning uchun barcha foydalanuvchilar:
✅ “App Center” orqali Qsync Central’ni yangilash,
✅ Tizimda foydalanilayotgan versiyani tekshirib, kamida 4.5.0.6 yoki undan yuqorisi ekanligiga ishonch hosil qilishlari kerak.
Qo‘shimcha tavsiyalar
🔐 Kirish ma’lumotlarini doimiy tahlil qilish,
🔐 Ikki bosqichli autentifikatsiyani yoqish,
🔐 Tarmoq segmentatsiyasi orqali muhim resurslarga bevosita kirish imkoniyatini cheklash,
🔐 Ma’lumotlar bazasidagi faoliyatni kuzatish va g‘ayrioddiy so‘rovlar uchun ogohlantirish tizimini joriy etish — bularning barchasi ushbu zaifliklardan himoyalanishda muhim ahamiyat kasb etadi.
QNAP Qsync Central foydalanuvchilari uchun bu zaifliklar katta xavf tug‘dirmoqda. Tezkor yangilanishlar va xavfsizlik choralarini ko‘rmaslik — muhim ma’lumotlarning yo‘qolishiga, tizimga ruxsatsiz kirishga va boshqa katta talafotlarga olib kelishi mumkin.
IT mutaxassislar va tizim administratorlari bu zaifliklarni befarq qoldirmasliklari, barcha ehtiyot choralari ko‘rilganligiga ishonch hosil qilishlari lozim.
