Detección de CVE-2023-50358: Una Nueva Vulnerabilidad Zero-Day en el Firmware de QNAP QTS y QuTS Hero

[post-views]
febrero 19, 2024 · 4 min de lectura
Detección de CVE-2023-50358: Una Nueva Vulnerabilidad Zero-Day en el Firmware de QNAP QTS y QuTS Hero

Siguiendo de cerca en los talones de una vulnerabilidad crítica de RCE de Jenkins, emerge otra falla de seguridad que puede representar una grave amenaza para las organizaciones globales en el panorama de amenazas cibernéticas. Una nueva vulnerabilidad de día cero en los sistemas operativos QNAP QTS y QuTS hero catalogada como CVE-2023-50358 ha estado actualmente en el punto de mira. La vulnerabilidad descubierta de inyección de comandos impacta los dispositivos NAS (Almacenamiento Conectado en Red) de QNAP. La falla de seguridad ya ha comprometido más de 250K direcciones IP separadas vinculadas a Europa, EE.UU., China y Japón.

Detección de Intentos de Explotación de CVE-2023-50358

Sumándose a la lista de alrededor de 30K vulnerabilidades detectadas en 2023, CVE-2023-50358 representa una amenaza significativa para los defensores cibernéticos a nivel mundial. En vista de múltiples intentos de aprovechamiento de un día cero en el centro de atención, los profesionales de seguridad requieren herramientas innovadoras para detectar los intentos de explotación en las primeras etapas del desarrollo del ataque. La Plataforma SOC Prime ofrece una colección de algoritmos de detección dedicados respaldados por soluciones avanzadas para agilizar la investigación de caza de amenazas.

Posible Acceso Inicial Usando Nueva Vulnerabilidad en Firmware de QNAP QTS [CVE-2023-50358] (a través del servidor web)

La regla anterior, proporcionada por nuestro atento desarrollador de Threat Bounty Kagan SUKUR, ayuda a detectar exploits para una falla de día cero en QNAP QTS y QuTUS Hero. La regla es compatible con 18 soluciones SIEM, EDR, XDR y Data Lake y se mapea al marco de MITRE ATT&CK v14.1.

Para mejorar la eficiencia de la caza de amenazas y asegurar la infraestructura organizacional, los defensores cibernéticos pueden sumergirse en todo el conjunto de detección dirigido a la detección de explotación de vulnerabilidades. Pulse el Explorar Detecciones botón a continuación, y profundice en las extensas colecciones de reglas Sigma enriquecidas con metadatos relevantes. Específicamente, las reglas vienen acompañadas de enlaces CTI, referencias ATT&CK, recomendaciones de triaje, cronologías de ataque, y más.

Explorar Detecciones

Análisis de CVE-2023-50358

En noviembre de 2023, los investigadores de Unidad 42 descubrieron una nueva vulnerabilidad de día cero en el firmware de QNAP QTS y QuTS hero que afecta los dispositivos NAS. La vulnerabilidad de día cero identificada es una vulnerabilidad de inyección de comandos dentro del componente quick.cgi del firmware QNAP QTS, que puede ser accedida sin autenticación. La vulnerabilidad catalogada como CVE-2023-50358 surge cuando el parámetro de solicitud HTTP «todo=set_timeinfo» está configurado, y el parámetro «SPECIFIC_SERVER» se guarda en un archivo de configuración específico bajo el nombre de entrada «NTP Address.” Más de 250K dispositivos han estado expuestos a la explotación de CVE-2023-50358, con direcciones IP identificadas provenientes de 18 países, incluyendo EE.UU., Europa, Canadá, el Reino Unido, Australia, y Asia Oriental.

En respuesta a la divulgación de la vulnerabilidad, QNAP emitió de inmediato un asesoramiento de seguridad ofreciendo recomendaciones y medidas de mitigación de CVE-2023-50358 para ayudar a los defensores a defenderse proactivamente contra potenciales amenazas. Además del día cero CVE-2023-50358, el proveedor también abordó otro error de seguridad catalogado como CVE-2023-47218 que afecta a una versión diferente del sistema operativo QNAP. En caso de explotación exitosa, tanto CVE-2023-50358 como CVE-2023-47218 pueden permitir a los adversarios ejecutar comandos a través de una red. QNAP ha estado lanzando gradualmente actualizaciones de firmware que contienen parches desde principios de enero de 2024, con algunas actualizaciones implementadas en múltiples etapas.

Para minimizar los riesgos de explotación de la vulnerabilidad CVE-2023-50358, se recomienda encarecidamente a los clientes de QNAP asegurarse de que sus dispositivos NAS estén actualizados a la versión de firmware completamente corregida. El proveedor también ha proporcionado orientación sobre cómo los administradores pueden verificar si su sistema es susceptible a los problemas de seguridad de QNAP mencionados anteriormente.

Los investigadores creen que los errores de seguridad que afectan a los dispositivos IoT poseen tanto una baja complejidad de ataque como una alta gravedad, lo que los hace altamente atractivos para los actores de amenazas. Por lo tanto, proteger los dispositivos IoT contra estas amenazas es una prioridad inmediata. Comience con Uncoder AI para avanzar en sus capacidades de Ingeniería de Detección con un único IDE impulsado por IA para simplificar la escritura de código, la validación de sintaxis y lógica, y la traducción automatizada a docenas de lenguajes de ciberseguridad mientras asegura defensa proactiva contra intentos de explotación de CVE y amenazas cibernéticas de cualquier sofisticación.

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.

Publicaciones relacionadas