CVE-2023-47565 Flaw in QNAP NVR Devices Exploited in the Wild
2023/12/27 SecurityOnline — QNAP の VioStor Network Video Recorder (NVR) 機器に存在する深刻な脆弱性を、先日に Akamai の Security Intelligence Response Team (SIRT) が発見した。洗練された監視ソリューションが増加するデジタル社会の中で、刻々と差し迫るサイバー・セキュリティのリスクを、この積極的に悪用されている脆弱性が再認識させている。
この脆弱性 CVE-2023-47565 (CVSSv3:8.0) が明らかにするのは、ネットワーク・セキュリティにおける深刻な脅威である。高性能ネットワーク監視/IP カメラ監視/ビデオ録画再生/リモート・データ・アクセス機能で定評のある、QNAP VioStor NVR は難題に直面している。
CVE-2023-47565 の特徴は、認証された攻撃者が OS コマンド・インジェクションを実行できる点にある。それは、POST リクエストを介して管理インターフェイスに配信される、ペイロードにより引き起こされる。具体的に言うと、デバイスのデフォルトの認証情報を悪用するものであり、これまでに報告されていなかった、未知の脆弱性が影響するものだ。
また、この脆弱性 CVE-2023-47565 については、Mirai ボットネット InfectedSlurs によるマルウェア・キャンペーンでの悪用が報告されている。Akamai SIRT アドバイザリによると、InfectedSlurs キャンペーンでは2つのゼロデイ脆弱性が悪用されていると報告されていた。しかし、さらなる調査により、QNAP VioStor NVR デバイスだけが、このキャンペーンの標的となっていたことが判明したという。
この種のデバイスは、マニュアルに記載されているような、脆弱なデフォルトの認証設定で出荷されることが多い。それは、InfectedSlurs キャンペーンの攻撃対象と合致しており、OS コマンド・インジェクションの脆弱性の影響を、特に NTP 設定の脆弱性の影響を受けやすかった。
これらの、QNAP NVR デバイスは、サポート終了とされていた。しかし、今回の報告を受けた同社は、ファームウェアを最新バージョンにアップグレードするよう呼びかけている。この脆弱性は、以前にもパッチが適用されていたが、公表されていなかった。QNAP がユーザーに対して勧告しているのは、一連のデバイスのデフォルト・パスワードを変更して、セキュリティを強化することである。
12月21日には、米国の CISA (Cybersecurity and Infrastructure Security Agency) が、脆弱性 CVE-2023-47565 を Known Exploited Vulnerabilities (KEV) カタログに追加した。この措置は、米連邦政府機関に対して、リスク軽減のために必要な対策を講じるよう注意を喚起し、行動を促すものでもある。
QNAP NVR の脆弱性 CVE-2023-47565 が、CISA KEV に追加されました。CISA KEV 内を QNAP で検索してみたら、今回の件で12回目のことでした。これは、同社のデバイスが、米連邦政府内で利用されていることの証明でもあり、また、悪用されやすい製品群出ることの証明でもあります。よろしければ、このブログ内でも、QNAP で検索で検索してください。
IoT OT Security News 
You must be logged in to post a comment.