Хакеры внедряют бэкдоры в NAS QNAP с помощью 3-летней RCE-уязвимости

Вт 1 Сентябрь 2020 11:12

Хакеры сканируют Сеть на предмет уязвимых сетевых хранилищ (NAS) с несколькими версиями прошивки QNAP с целью проэксплуатировать трехлетнюю уязвимость удаленного выполнения кода.

По словам исследователей из Qihoo 360 Network Security Research Lab (NetLab), эксплуатация уязвимости позволяет удаленным неавторизованным злоумышленникам выполнить проверку подлинности с помощью исполняемого файла authLogout.cgi, поскольку он не может корректно проверить вводимые данные (не отфильтровывает специальные символы) и вызывает системную функцию для запуска командной строки, что позволяет удаленно выполнить код.

Эксперты сообщили QNAP PSIRT 13 мая о своих находках, и три месяца спустя им сообщили, что компания исправила проблему в версии прошивки 4.3.3, выпущенной 21 июля 2017 года.

«В данной версии системная функция заменена на qnap_exec, а функция qnap_exec определена в /usr/lib/libuLinux_Util.so.0. Использование execv для выполнения специальной команды позволило избежать внедрения команды», — пояснили специалисты.

Злоумышленники, стоящие за этими продолжающимися атаками, еще не полностью автоматизировали процесс и осуществляют некоторые части процесса вручную. В 360 Netlab еще не определили конечную цель злоумышленников, но обнаружили, что они развертывают одни и те же две полезные нагрузки на всех скомпрометированных устройствах, одной из которых является обратная оболочка, работающая порте TCP/1234.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 14 лет 214 дней 15 минут 5 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.