Κακόβουλοι παράγοντες, έχουν εξαπολύσει εκτεταμένες έρευνες στο διαδίκτυο, με σκοπό να βρουν συσκευές που εκτελούν εκδόσεις του QNAP firmware, με σκοπό να εκμεταλλευτούν μια ευπάθεια απομακρυσμένης εκτέλεσης κώδικα (RCE). Η εν λόγω ευπάθεια έχει επιδιορθωθεί από την QNAP σε προηγούμενη έκδοση.
Ωστόσο όπως δημοσιεύτηκε χθες από ερευνητές του Qihoo 360’s Network Security Research Lab (360 Netlab), ορισμένοι hackers εκμεταλλεύονται μια ευπάθεια εκτέλεσης απομακρυσμένων εντολών, λόγω ελαττώματος command execution στο firmware των συσκευών QNAP NAS.
Η ευπάθεια μπορεί να οδηγήσει σε απομακρυσμένη εκτέλεση κώδικα
Μη εξουσιοδοτημένοι hackers, μπορούν να εκμεταλλευτούν την ευπάθεια ώστε να αποκτήσουν εξουσιοδότηση, χρησιμοποιώντας το εκτελέσιμο authLogout.cgi. Το συγκεκριμένο εκτελέσιμο δεν φιλτράρει ειδικούς χαρακτήρες, με αποτέλεσμα να μην καθαρίζει την είσοδο και επιτρέπει στη λειτουργία του συστήματος να εκτελέσει τη συμβολοσειρά εντολών, επιτρέποντας έτσι command execution, που με τη σειρά του επιτρέπει την απομακρυσμένη εκτέλεση κώδικα.
Οι ερευνητές του 360 Netlab αποκάλυψαν τα ευρήματά τους στην QNAP PSIRT στις 13 Μαΐου, ενώ στις 12 Αυγούστου (τρεις μήνες αργότερα) ενημερώθηκαν ότι η εταιρεία αντιμετώπισε το ζήτημα ασφαλείας σε μια προηγούμενη ενημέρωση ασφαλείας και ότι εξακολουθούν να υπάρχουν συσκευές QNAP NAS που πρέπει να ενημερωθούν.
Η ευπάθεια επιδιορθώθηκε στην έκδοση 4.3.3, αντικαθιστώντας τη λειτουργία που χρησιμοποιήθηκε για την εκτέλεση των συμβολοσειρών εντολών.
“Στις 12 Αυγούστου 2020, η QNAP PSIRT απάντησε ότι η ευπάθεια είχε διορθωθεί σε πρώιμες ενημερώσεις, αλλά επιθέσεις εξακολουθούν να πραγματοποιούνται στο δίκτυο.”
Η QNAP προτρέπει τους πελάτες της να ενημερώσουν τις συσκευές τους
Όπως ανακάλυψαν οι ερευνητές του 360 Netlab, οι κακόβουλοι παράγοντες που πραγματοποιούν τις επιθέσεις, δεν έχουν αυτοματοποιήσει πλήρως την διαδικασία και εκτελούν ορισμένα τμήματά της χειρωνακτικά.
Ενώ η 360 Netlab δεν έχει ακόμη εντοπίσει τον τελικό στόχο των επιτιθέμενων, ανακάλυψε ωστόσο ότι αναπτύσσουν δύο ίδια payloads σε όλες τις παραβιασμένες συσκευές. Το ένα από αυτά είναι ένα «αντίστροφο κέλυφος» που λειτουργεί στη θύρα TCP / 1234.
Η 360 Netlab παρέχει μια λίστα με όλες τις επηρεαζόμενες εκδόσεις του QNAP firmware. Οι συσκευές αποθήκευσης QNAP, στοχεύονται επίσης τον τελευταίο καιρό από μια εκστρατεία eCh0raix Ransomware που ξεκίνησε πριν από δύο μήνες.
