พบช่องโหว่ใน QNAP VioStor NVR ที่ถูก InfectedSlurs Botnet ใช้ในการโจมตี

พบ Mirai-base Botnet ในชื่อ “InfectedSlurs” กำลังโจมตีโดยใช้ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล Remote Code Execution (RCE) ในอุปกรณ์ QNAP VioStor NVR (Network Video Recorder) เพื่อยึดเครื่องเป้าหมาย และนำไปใช้ในการโจมตีแบบ DDoS (distributed denial of service) ต่อไป

InfectedSlurs Botnet ถูกพบโดยทีม Security Intelligence Response Team (SIRT) ของ Akamai ในเดือนตุลาคม 2023 ซึ่งได้พบการโจมตีโดยใช้ช่องโหว่ Zero-day 2 รายการ ในเราเตอร์ และอุปกรณ์ NVR และคาดว่าได้เริ่มทำการโจมตีมาตั้งปลายปี 2022 โดยในตอนนั้นเนื่องจากเจ้าของผลิตภัณฑ์ไม่ได้ออกอัปเดตแก้ไขช่องโหว่ดังกล่าว ทาง Akamai จึงยังไม่ได้เปิดเผยข้อมูลใด ๆ เกี่ยวกับช่องโหว่ที่ InfectedSlurs ใช้ในการโจมตีเป้าหมาย ต่อมาหลังทางเจ้าของผลิตภัณฑ์ได้ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่แล้ว ทาง Akamai จึงได้เผยแพร่รายงานการค้นพบในเดือนพฤศจิกายน 2023

ช่องโหว่ Zero-day 2 รายการ
**

CVE-2023-49897 (คะแนน CVSS 8.8/10 ความรุนแรงระดับสูง) รายการแรกเป็นช่องโหว่ที่ส่งผลกระทบต่อ FXC AE1021และ AE1021PE WiFi routers ซึ่งทางเจ้าของผลิตภัณฑ์ได้ออกแพตซ์อัปเดตความปลอดภัยในวันที่ 6 ธันวาคม 2023 พร้อมด้วย firmware version 2.0.10 และแนะนำให้ผู้ใช้สั่งทำ factory reset และเปลี่ยน default password
**

CVE-2023-47565 (คะแนน CVSS 8.8/10 ความรุนแรงระดับสูง) รายการที่สองเป็นช่องโหว่ OS command injection ซึ่งส่งผลกระทบต่อรุ่น QNAP VioStor NVR ที่ใช้ QVR firmware 4.x. โดย QNAP ได้ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่เมื่อวันที่ 7 ธันวาคม 2023 เพื่อแก้ไขช่องโหว่ Zero-day ใน QVR firmware QVR 5.x และใหม่กว่า ซึ่งมีให้สำหรับทุกรุ่นที่รองรับ

เนื่องจาก QVR firmware QVR 5.0 ได้มีการเปิดตัวมาแล้วนานกว่า 10 ปี จึงสรุปได้ว่า InfectedSlurs Botnet มุ่งเป้าหมายการโจมตีไปยัง VioStor NVR รุ่นเก่าที่ไม่เคยอัปเดตเฟิร์มแวร์หลังจากการตั้งค่าครั้งแรก

QNAP ได้ให้คำแนะนำสำหรับการแก้ไข NVR ที่มีช่องโหว่

  • เข้าสู่ระบบ QVR ด้วยสิทธิผู้ดูแลระบบ ไปที่ 'Control Panel → System Settings → Firmware Update' และคลิก 'Browse' เพื่อค้นหาเวอร์ชันที่เหมาะสมสำหรับรุ่นที่ใช้งานอยู่ หลังจากนั้นคลิก 'Update System' และรอให้ QVR ติดตั้งการอัปเดต
  • แนะนำให้เปลี่ยนรหัสผ่านผู้ใช้บน QVR ผ่าน 'Control Panel → Privilege → Users → Change Password'
    ทั้งนี้ VioStor NVR ที่ครบกำหนด EOL (หมดอายุการใช้งาน) อาจจะไม่มีแพตซ์อัปเดตใน QVR firmware QVR 5.x หรือใหม่กว่า วิธีการแก้ไขวิธีการเดียวคือการแทนที่ด้วยรุ่นที่ใหม่กว่า และยังได้รับการป้องกันด้านความปลอดภัย

ที่มา : bleepingcomputer