Detecção do CVE-2023-50358: Uma Nova Vulnerabilidade Zero-Day no Firmware QNAP QTS e QuTS Hero
Índice:
Logo após a vulnerabilidade crítica de RCE do Jenkins, outra falha de segurança que pode representar uma ameaça severa para organizações globais surge no panorama das ameaças cibernéticas. Uma nova vulnerabilidade zero-day nos sistemas operacionais QNAP QTS e QuTS hero, rastreadas como CVE-2023-50358, está atualmente em destaque. A vulnerabilidade de injeção de comando descoberta impacta os dispositivos de armazenamento conectado à rede (NAS) da QNAP. A falha de segurança já comprometeu mais de 250 mil endereços IP separados vinculados à Europa, EUA, China e Japão.
Detectando Tentativas de Exploração da CVE-2023-50358
Somando-se à lista de cerca de 30 mil vulnerabilidades detectadas em 2023, a CVE-2023-50358 representa uma ameaça significativa para defensores cibernéticos em todo o mundo. Diante de múltiplas tentativas de armamento para um zero-day em destaque, os profissionais de segurança precisam de ferramentas inovadoras para detectar tentativas de exploração nos estágios iniciais do desenvolvimento do ataque. A plataforma SOC Prime oferece uma coleção de algoritmos de detecção dedicados apoiados por soluções avançadas para agilizar a investigação de caças de ameaças.
A regra acima, fornecida por nosso desenvolvedor de ameaças Bounty atento Kagan SUKUR, ajuda a detectar explorações para uma falha zero-day no QNAP QTS e QuTUS Hero. A regra é compatível com 18 soluções de SIEM, EDR, XDR e Data Lake e é mapeada para o framework MITRE ATT&CK v14.1.
Para aumentar a eficiência da caça de ameaças e proteger a infraestrutura organizacional, os defensores cibernéticos podem mergulhar em todo o stack de detecção voltado para a detecção de exploração de vulnerabilidades. Clique no Explore Detections botão abaixo e aprofunde-se nas extensas coleções de regras Sigma enriquecidas com metadados relevantes. Especificamente, as regras são acompanhadas por links CTI, referências ATT&CK, recomendações de triagem, cronogramas de ataques e mais.
Análise da CVE-2023-50358
Em novembro de 2023, pesquisadores da Unit 42 descobriram uma nova vulnerabilidade zero-day no firmware QNAP QTS e QuTS hero que afeta dispositivos NAS. A zero-day identificada é uma vulnerabilidade de injeção de comando dentro do componente quick.cgi do firmware QNAP QTS, que pode ser acessado sem autenticação. A vulnerabilidade rastreada como CVE-2023-50358 surge quando o parâmetro da solicitação HTTP “todo=set_timeinfo” é configurado, e o parâmetro “SPECIFIC_SERVER” é salvo em um arquivo de configuração específico sob o nome de entrada “NTP Address.” Mais de 250 mil dispositivos foram expostos à exploração da CVE-2023-50358, com endereços IP identificados provenientes de 18 países, incluindo EUA, Europa, Canadá, Reino Unido, Austrália e Ásia Oriental.
Em resposta à divulgação da vulnerabilidade, a QNAP prontamente emitiu um aviso de segurança oferecendo recomendações e medidas de mitigação da CVE-2023-50358 para ajudar os defensores a se protegerem proativamente contra ameaças potenciais. Além da zero-day CVE-2023-50358, o fornecedor também abordou outro bug de segurança rastreado como CVE-2023-47218 que afeta uma versão diferente do OS da QNAP. Em caso de exploração bem-sucedida, tanto a CVE-2023-50358 quanto a CVE-2023-47218 podem permitir que adversários executem comandos através de uma rede. A QNAP tem lançado gradualmente atualizações de firmware contendo correções desde o início de janeiro de 2024, com algumas atualizações sendo distribuídas em múltiplos estágios.
Para minimizar os riscos de exploração da vulnerabilidade CVE-2023-50358, os clientes da QNAP são fortemente aconselhados a garantir que seus dispositivos NAS sejam atualizados para a versão corrigida do firmware. O fornecedor também forneceu orientações sobre como os administradores podem verificar se seu sistema é suscetível aos problemas de segurança da QNAP referenciados acima.
Os pesquisadores acreditam que falhas de segurança que afetam dispositivos IoT possuem tanto baixa complexidade de ataque quanto alta severidade, tornando-os altamente atraentes para atores de ameaças. Consequentemente, proteger dispositivos IoT contra estas ameaças é uma prioridade imediata. Comece com o Uncoder AI para avançar suas capacidades de Engenharia de Detecção com um único IDE aprimorado por IA para escrita simplificada de código, validação de sintaxe & lógica, e tradução automatizada para dezenas de linguagens de cibersegurança, garantindo uma defesa proativa contra tentativas de exploração de CVE e ameaças cibernéticas de qualquer sofisticação.
