RCE-баг трехлетней давности используется для установки бэкдоров на Qnap NAS - «Новости»

Исследователи из китайской компании Qihoo 360 предупреждают, что злоумышленники по-прежнему эксплуатируют уязвимость в прошивках устройств Qnap, которая была исправлена еще в 2017 году.

Уязвимость позволяет неаутентифицированным злоумышленникам пройти аутентификацию с помощью исполняемого файла authLogout.cgi. Корень проблемы заключается в недостаточной очистке вводимых данных (не отфильтровываются специальные символы), что в итоге позволяет вызывать системную функцию для запуска командной строки, осуществить инъекцию команд и в конечном итоге ведет к удаленному исполнению произвольного кода

Еще в мае текущего года исследователи связались с разработчиками Qnap, чтобы сообщить им о найденной проблеме, и 12 августа (три месяца спустя) им наконец ответили, что компания уже давно исправила эту уязвимость, а в сети просто до сих пор можно найти устройства, на которых не были установлены патчи. Как оказалось, инженеры Qnap устранили эту уязвимость в прошивке версии 4.3.3, выпущенной еще 21 июля 2017 года.

Согласно анализу Qihoo 360, злоумышленники, стоящие за этими атаками, не полностью автоматизировали процесс взлома, и некоторые его части осуществляются вручную. При этом исследователи так и не смогли установить конечную цель хакеров. Известно лишь, что злоумышленники развертывают на зараженных устройствах две полезные нагрузки, одна из которых представляет собой обратный шелл (порт TCP/1234).

Исследователи напоминают владельцам устройств Qnap о необходимости вовремя устанавливать обновления. В блоге компании могло найти список уязвимых прошивок, а также индикаторы компрометации, включая IP-адреса сканера и загрузчика злоумышленников.