CVE-2023-50358 Erkennung: Eine neue Zero-Day-Schwachstelle in QNAP QTS und QuTS Hero Firmware
Inhaltsverzeichnis:
Kurz nach der Entdeckung einer kritischen Jenkins RCE-Schwachstelletaucht eine weitere Sicherheitslücke auf, die eine ernsthafte Bedrohung für globale Organisationen darstellen kann. Eine neue Zero-Day-Schwachstelle in den QNAP QTS- und QuTS hero-Betriebssystemen, die als CVE-2023-50358 verfolgt wird, steht derzeit im Rampenlicht. Die aufgedeckte Befehlsinjektions-Schwachstelle betrifft QNAP Network Attached Storage (NAS)-Geräte. Die Sicherheitslücke hat bereits über 250.000 separate IP-Adressen kompromittiert, die mit Europa, den USA, China und Japan verbunden sind.
Erkennung von CVE-2023-50358 Ausnutzungsversuchen
Zusätzlich zu der Liste von etwa 30.000 im Jahr 2023 erkannten Schwachstellen stellt CVE-2023-50358 eine erhebliche Bedrohung für Cyber-Verteidiger weltweit dar. Angesichts mehrerer Versuche, eine Zero-Day-Schwachstelle ins Rampenlicht zu rücken, benötigen Sicherheitsfachleute innovative Werkzeuge, um Ausnutzungsversuche in den frühesten Stadien der Angriffsentwicklung zu erkennen. Die SOC Prime Plattform bietet eine Sammlung dedizierter Erkennungsalgorithmen, unterstützt durch fortschrittliche Lösungen zur Straffung der Bedrohungsjagduntersuchung.
Die obige Regel, bereitgestellt von unserem aufmerksamen Threat Bounty-Entwickler Kagan SUKUR, hilft bei der Erkennung von Exploits für eine Zero-Day-Schwachstelle in QNAP QTS und QuTS Hero. Die Regel ist mit 18 SIEM-, EDR-, XDR- und Data Lake-Lösungen kompatibel und wird mit dem MITRE ATT&CK-Framework v14.1 versehen.
Um die Effizienz der Bedrohungsjagd zu steigern und die Infrastruktur der Organisation zu sichern, können Cyber-Verteidiger in den gesamten Erkennungsstapel eintauchen, der auf die Erkennung von Schwachstellenausnutzung abzielt. Drücken Sie den Detektionen erkunden -Button unten und tauchen Sie in die umfangreichen Sammlungen von Sigma-Regeln ein, angereichert mit relevanten Metadaten. Die Regeln sind speziell mit CTI-Links, ATT&CK-Referenzen, Priorisierungsempfehlungen, Angriffszeitplänen und mehr versehen.
CVE-2023-50358 Analyse
Im November 2023 entdeckten Forscher von Unit 42 eine neue Zero-Day-Schwachstelle in der QNAP QTS- und QuTS hero-Firmware, die NAS-Geräte betrifft. Die identifizierte Zero-Day-Schwachstelle ist eine Befehlsinjektionslücke innerhalb der quick.cgi-Komponente der QNAP QTS-Firmware, die ohne Authentifizierung zugänglich ist. Die als CVE-2023-50358 verfolgte Schwachstelle tritt auf, wenn der HTTP-Anfrageparameter „todo=set_timeinfo“ konfiguriert ist und der Parameter „SPECIFIC_SERVER“ in eine bestimmte Konfigurationsdatei unter dem Eintrag „NTP Address” gespeichert wird. Über 250.000 Geräte waren der Ausnutzung von CVE-2023-50358 ausgesetzt, mit identifizierten IP-Adressen aus 18 Ländern, darunter die USA, Europa, Kanada, das Vereinigte Königreich, Australien und Ostasien.
In Reaktion auf die Offenlegung der Schwachstelle hat QNAP umgehend einen Sicherheitshinweis herausgegeben, der Empfehlungen und Maßnahmen zur Minderung von CVE-2023-50358-Angriffen bietet, um Verteidiger proaktiv gegen potenzielle Bedrohungen zu schützen. Zusätzlich zu dem CVE-2023-50358 Zero-Day hat der Anbieter auch eine andere Sicherheitslücke behandelt, die als CVE-2023-47218 verfolgt wird und eine andere Version des QNAP-Betriebssystems betrifft. Im Falle einer erfolgreichen Ausnutzung können sowohl CVE-2023-50358 als auch CVE-2023-47218 es Angreifern ermöglichen, Befehle über ein Netzwerk auszuführen. QNAP hat seit Anfang Januar 2024 schrittweise Firmware-Updates mit Patches veröffentlicht, wobei einige Updates in mehreren Phasen ausgerollt werden.
Um die Risiken der Ausnutzung der CVE-2023-50358-Schwachstelle zu minimieren, wird QNAP-Kunden dringend empfohlen, sicherzustellen, dass ihre NAS-Geräte auf die vollständig gepatchte Firmware-Version aktualisiert sind. Der Anbieter hat außerdem Leitlinien gegeben wie Administratoren überprüfen können, ob ihr System für die oben genannten QNAP-Sicherheitsprobleme anfällig ist.
Forscher glauben, dass Sicherheitslücken, die IoT-Geräte betreffen, sowohl eine geringe Angriffskomplexität als auch eine hohe Schwere aufweisen, was sie für Bedrohungsakteure äußerst attraktiv macht. Folglich ist der Schutz von IoT-Geräten vor diesen Bedrohungen eine unmittelbare Priorität. Beginnen Sie mit Uncoder AI um Ihre Detection Engineering Fähigkeiten mit einer einzelnen KI-gestützten IDE zur vereinfachten Code-Erstellung, Syntax- und Logik-Validierung sowie zur automatisierten Übersetzung in dutzende Cybersicherheitssprachen zu erweitern, während Sie eine proaktive Verteidigung gegen CVE-Angriffe und Bedrohungen jeglicher Art sicherstellen.
