Détection de CVE-2023-50358 : Une nouvelle vulnérabilité zéro-day dans le firmware QNAP QTS et QuTS Hero
Table des matières :
Peu après une vulnérabilité critique RCE dans Jenkins, une autre faille de sécurité qui peut poser une menace grave aux organisations mondiales apparaît dans le paysage des cybermenaces. Une nouvelle vulnérabilité zero-day dans les systèmes d’exploitation QNAP QTS et QuTS hero, suivie sous le nom de CVE-2023-50358, est actuellement sous les projecteurs. La vulnérabilité d’injection de commande découverte affecte les appareils de stockage en réseau (NAS) de QNAP. La faille de sécurité a déjà compromis plus de 250 000 adresses IP distinctes liées à l’Europe, aux États-Unis, à la Chine et au Japon.
Détection des tentatives d’exploitation de CVE-2023-50358
S’ajoutant à la liste d’environ 30 000 vulnérabilités détectées en 2023, CVE-2023-50358 représente une menace significative pour les défenses cybernétiques à l’échelle mondiale. Compte tenu des nombreuses tentatives de militarisation d’un zero-day sous les projecteurs, les professionnels de la sécurité nécessitent des outils innovants pour détecter les tentatives d’exploitation aux premiers stades du développement de l’attaque. La plate-forme SOC Prime propose une collection d’algorithmes de détection dédiés soutenus par des solutions avancées pour rationaliser l’investigation de la chasse aux menaces.
La règle ci-dessus, fournie par notre développeur Threat Bounty perspicace Kagan SUKUR, aide à détecter les exploits pour une faille zero-day dans QNAP QTS et QuTUS Hero. La règle est compatible avec 18 solutions SIEM, EDR, XDR, et Data Lake et est mappée au cadre MITRE ATT&CK v14.1.
Pour améliorer l’efficacité de la chasse aux menaces et sécuriser l’infrastructure organisationnelle, les défenseurs cybernétiques peuvent explorer l’ensemble de la pile de détection axée sur la détection des exploits de vulnérabilité. Appuyez sur le Explorez les détections bouton ci-dessous, et approfondissez les collections extensives de règles Sigma enrichies avec des métadonnées pertinentes. Spécifiquement, les règles sont accompagnées de liens CTI, de références ATT&CK, de recommandations de triage, de chronologies d’attaques, et bien plus encore.
Analyse de CVE-2023-50358
En novembre 2023, les chercheurs de l’unité 42 ont découvert une nouvelle vulnérabilité zero-day dans le firmware QNAP QTS et QuTS hero affectant les appareils NAS. Le zero-day identifié est une vulnérabilité d’injection de commande dans le composant quick.cgi du firmware QNAP QTS, qui peut être accédé sans authentification. La vulnérabilité suivie sous le nom de CVE-2023-50358 survient lorsque le paramètre de requête HTTP « todo=set_timeinfo » est configuré, et le paramètre « SPECIFIC_SERVER » est enregistré dans un fichier de configuration spécifique sous le nom d’entrée « NTP Address. » Plus de 250 000 appareils ont été exposés à l’exploitation de CVE-2023-50358, avec des adresses IP identifiées provenant de 18 pays, y compris les États-Unis, l’Europe, le Canada, le Royaume-Uni, l’Australie et l’Asie de l’Est.
En réponse à la divulgation de la vulnérabilité, QNAP a promptement émis un avis de sécurité offrant des recommandations et des mesures d’atténuation de CVE-2023-50358 pour aider les défenseurs à se protéger de manière proactive contre les menaces potentielles. En plus du zero-day CVE-2023-50358, le fournisseur a également abordé un autre bug de sécurité suivi sous le nom de CVE-2023-47218 qui affecte une version différente du système d’exploitation QNAP. En cas d’exploitation réussie, les deux CVE-2023-50358 et CVE-2023-47218 peuvent permettre aux adversaires d’exécuter des commandes via un réseau. QNAP a progressivement publié des mises à jour de firmware contenant des correctifs depuis début janvier 2024, certaines mises à jour étant déployées en plusieurs étapes.
Pour minimiser les risques d’exploitation de la vulnérabilité CVE-2023-50358, les clients de QNAP sont fortement conseillés de s’assurer que leurs appareils NAS sont mis à niveau vers la version de firmware entièrement corrigée. Le fournisseur a également fourni des conseils sur la manière dont les administrateurs peuvent vérifier si leur système est susceptible aux problèmes de sécurité QNAP référencés ci-dessus.
Les chercheurs estiment que les bugs de sécurité affectant les appareils IoT possèdent à la fois une faible complexité d’attaque et une grande sévérité, les rendant très attrayants pour les acteurs de la menace. Par conséquent, protéger les appareils IoT contre ces menaces est une priorité immédiate. Commencez avec Uncoder AI pour améliorer vos capacités d’ingénierie de détection avec un IDE unique alimenté par l’IA pour simplifier l’écriture de code, la validation de la syntaxe et de la logique, et la traduction automatisée dans des dizaines de langages de cybersécurité tout en assurant une défense proactive contre les tentatives d’exploitation de CVE et les menaces cybernétiques de toute sophistication.
