Ένα botnet που βασίζεται στο Mirai με το όνομα «InfectedSlurs» εκμεταλλεύεται μια ευπάθεια απομακρυσμένης εκτέλεσης κώδικα (RCE) σε συσκευές QNAP VioStor NVR (
Network
Video Recorder) για να τις παραβιάσει και να τις κάνει μέρος του σμήνος του
DDoS
(κατανεμημένη άρνηση υπηρεσίας).
Το botnet ανακαλύφθηκε από την Ομάδα Απάντησης Πληροφοριών Ασφαλείας (SIRT) της Akamai τον Οκτώβριο του 2023, η οποία παρατήρησε την εκμετάλλευση δύο τρωτών σημείων zero-day σε δρομολογητές και συσκευές NVR, πιθανότατα από τα τέλη του 2022.
Εκείνη την εποχή, και επειδή οι πωλητές δεν είχαν κυκλοφορήσει ενημερώσεις κώδικα, η Akamai επέλεξε να μην αποκαλύψει καμία πληροφορία σχετικά με τα ελαττώματα που εκμεταλλευόταν το InfectedSlurs.
Καθώς οι ενημερώσεις ασφαλείας ή οι πληροφορίες σχετικά με τις δύο ημέρες μηδέν έχουν γίνει διαθέσιμες, η Akamai δημοσίευσε δύο αναφορές παρακολούθησης (
1
,
2
) για να καλύψουμε τα κενά που είχαν μείνει στην αρχική αναφορά από τα τέλη Νοεμβρίου.
Το πρώτο ελάττωμα zero-day που εκμεταλλεύεται το InfectedSlurs παρακολουθείται ως CVE-2023-49897 και επηρεάζει τους δρομολογητές WiFi FXC AE1021 και AE1021PE.
Ο προμηθευτής
κυκλοφόρησε μια ενημέρωση ασφαλείας
στις 6 Δεκεμβρίου 2023, με έκδοση υλικολογισμικού 2.0.10 και συνέστησε στους χρήστες να πραγματοποιήσουν επαναφορά εργοστασιακών ρυθμίσεων και να αλλάξουν τον προεπιλεγμένο κωδικό πρόσβασης μετά την εφαρμογή του.
Η δεύτερη ευπάθεια zero-day στις επιθέσεις του botnet είναι το CVE-2023-47565, μια ένεση εντολών λειτουργικού συστήματος υψηλής σοβαρότητας που επηρεάζει τα μοντέλα QNAP VioStor NVR που εκτελούν υλικολογισμικό QVR 4.x.
Δημοσιεύτηκε το QNAP
μια συμβουλευτική
στις 7 Δεκεμβρίου 2023, εξηγώντας ότι το προηγουμένως άγνωστο πρόβλημα επιδιορθώθηκε στο υλικολογισμικό QVR 5.x και μεταγενέστερο, το οποίο είναι διαθέσιμο σε όλα τα μοντέλα που υποστηρίζονται ενεργά.
Δεδομένου ότι η έκδοση 5.0.0 κυκλοφόρησε σχεδόν πριν από μια δεκαετία, συνάγεται ότι το botnet Infected Slur στοχεύει παλαιού τύπου μοντέλα VioStor NVR που δεν ενημέρωσαν ποτέ το υλικολογισμικό τους μετά την αρχική εγκατάσταση.
Ο προμηθευτής συνιστά τις ακόλουθες ενέργειες σε ευάλωτες συσκευές NVR:
Συνδεθείτε στο QVR ως
διαχειριστής
, κατευθυνθείτε στο ‘
Πίνακας Ελέγχου
→
Ρυθμίσεις συστήματος
→
Ενημέρωση υλικολογισμικού
,’ επίλεξε το ‘
Ενημέρωση υλικολογισμικού
‘ καρτέλα και κάντε κλικ ‘
Ξεφυλλίζω
Για να εντοπίσετε τη σωστή έκδοση για το συγκεκριμένο μοντέλο σας.
Τέλος, κάντε κλικ στο ‘
Ενημέρωση συστήματος
και περιμένετε μέχρι το QVR να εγκαταστήσει την ενημέρωση.
Επιπλέον
, συνιστά την αλλαγή των κωδικών πρόσβασης χρήστη στο QVR μέσω του ‘
Ελεγχος
Πίνακας
→
Προνόμιο
→
Χρήστες
→
Άλλαξε κωδικό
,’ πληκτρολογήστε έναν νέο ισχυρό κωδικό πρόσβασης και κάντε κλικ στο ‘
Ισχύουν
.’
Ένα μοντέλο VioStor NVR που έχει φτάσει στο EOL (end-of-life) ενδέχεται να μην έχει διαθέσιμη ενημέρωση που περιλαμβάνει υλικολογισμικό 5.x ή μεταγενέστερο.
Αυτές οι συσκευές δεν θα λάβουν ενημέρωση ασφαλείας, επομένως η μόνη λύση είναι να τις αντικαταστήσετε με νεότερα μοντέλα που υποστηρίζονται ενεργά.
VIA:
bleepingcomputer.com
