Rilevamento CVE-2023-50358: Una Nuova Vulnerabilità Zero-Day nel Firmware QNAP QTS e QuTS Hero
Indice:
A breve distanza da un grave vulnerabilità RCE di Jenkins, un’altra falla di sicurezza che può rappresentare una grave minaccia per le organizzazioni globali emerge nel panorama delle cyber minacce. Una nuova vulnerabilità zero-day nei sistemi operativi QNAP QTS e QuTS hero tracciata come CVE-2023-50358 è attualmente sotto i riflettori. La vulnerabilità di injection dei comandi scoperta impatta i dispositivi di archiviazione di rete (NAS) di QNAP. La falla di sicurezza ha già compromesso oltre 250.000 indirizzi IP distinti collegati a Europa, U.S.A., Cina e Giappone.
Rilevamento dei tentativi di sfruttamento del CVE-2023-50358
Aggiungendosi alla lista di circa 30.000 vulnerabilità rilevate nel 2023, il CVE-2023-50358 rappresenta una minaccia significativa per i difensori cyber a livello globale. In considerazione dei numerosi tentativi di armare uno zero-day sotto i riflettori, i professionisti della sicurezza necessitano di strumenti innovativi per rilevare i tentativi di sfruttamento nelle prime fasi dello sviluppo dell’attacco. La piattaforma SOC Prime offre una raccolta di algoritmi di rilevamento dedicati supportati da soluzioni avanzate per snellire l’indagine sulla caccia alle minacce.
La regola sopra, fornita dal nostro abile sviluppatore Threat Bounty Kagan SUKUR, aiuta a rilevare sfruttamenti per una falla zero-day in QNAP QTS e QuTUS Hero. La regola è compatibile con 18 soluzioni SIEM, EDR, XDR e Data Lake e mappata al framework MITRE ATT&CK v14.1.
Per aumentare l’efficienza nella caccia alle minacce e garantire la sicurezza dell’infrastruttura aziendale, i difensori informatici possono immergersi nell’intero stack di rilevamento mirato alla rilevazione di sfruttamenti di vulnerabilità. Premi il pulsante Esplora Rilevamenti qui sotto e approfondisci le vaste raccolte di regole Sigma arricchite con metadati pertinenti. In particolare, le regole sono accompagnate da link CTI, riferimenti ATT&CK, raccomandazioni di triage, cronologie degli attacchi e altro ancora.
Analisi di CVE-2023-50358
Nel novembre 2023, i ricercatori di Unit 42 hanno scoperto una nuova vulnerabilità zero-day nel firmware QNAP QTS e QuTS Hero che interessa i dispositivi NAS. Lo zero-day identificato è una vulnerabilità di injection di comandi all’interno del componente quick.cgi del firmware QNAP QTS, che può essere accessibile senza autenticazione. La vulnerabilità tracciata come CVE-2023-50358 si manifesta quando il parametro della richiesta HTTP “todo=set_timeinfo” è configurato e il parametro “SPECIFIC_SERVER” è salvato in un file di configurazione specifico sotto il nome di voce “NTP Address”. Oltre 250.000 dispositivi sono stati esposti allo sfruttamento del CVE-2023-50358, con indirizzi IP identificati provenienti da 18 paesi, compresi U.S.A., Europa, Canada, Regno Unito, Australia e Asia orientale.
In risposta alla divulgazione della vulnerabilità, QNAP ha prontamente emesso un avviso di sicurezza offrendo raccomandazioni e misure di mitigazione per CVE-2023-50358 per aiutare i difensori a proteggersi proattivamente contro potenziali minacce. Oltre al zero-day CVE-2023-50358, il fornitore ha anche affrontato un altro bug di sicurezza tracciato come CVE-2023-47218 che interessa una diversa versione del sistema operativo QNAP. In caso di sfruttamento riuscito, sia CVE-2023-50358 che CVE-2023-47218 possono consentire agli avversari di eseguire comandi attraverso una rete. QNAP ha rilasciato gradualmente aggiornamenti del firmware contenenti patch da inizio gennaio 2024, con alcuni aggiornamenti distribuiti in più fasi.
Per minimizzare i rischi di sfruttamento della vulnerabilità CVE-2023-50358, si consiglia vivamente ai clienti QNAP di assicurarsi che i loro dispositivi NAS siano aggiornati all’ultima versione del firmware completamente corretta. Il fornitore ha anche fornito indicazioni su come gli amministratori possono verificare se il loro sistema è suscettibile ai problemi di sicurezza QNAP sopra riportati.
I ricercatori ritengono che i bug di sicurezza che interessano i dispositivi IoT abbiano sia una bassa complessità di attacco che un’alta gravità, rendendoli altamente attraenti per gli attori delle minacce. Di conseguenza, la protezione dei dispositivi IoT da queste minacce è una priorità immediata. Inizia con Uncoder AI per migliorare le tue capacità di Ingegneria della Rilevazione con un singolo IDE alimentato da AI per semplificare la scrittura del codice, la validazione della sintassi e della logica, e la traduzione automatica a decine di linguaggi di cybersecurity, assicurando una difesa proattiva contro i tentativi di sfruttamento CVE e le minacce informatiche di qualsiasi sofisticazione.
