Преступники развертывают одни и те же две полезные нагрузки на всех скомпрометированных устройствах.
Хакеры сканируют Сеть на предмет уязвимых сетевых хранилищ (NAS) с несколькими версиями прошивки QNAP с целью проэксплуатировать трехлетнюю уязвимость удаленного выполнения кода.
По словам исследователей из Qihoo 360 Network Security Research Lab (NetLab), эксплуатация уязвимости позволяет удаленным неавторизованным злоумышленникам выполнить проверку подлинности с помощью исполняемого файла authLogout.cgi, поскольку он не может корректно проверить вводимые данные (не отфильтровывает специальные символы) и вызывает системную функцию для запуска командной строки, что позволяет удаленно выполнить код.
Эксперты сообщили QNAP PSIRT 13 мая о своих находках, и три месяца спустя им сообщили, что компания исправила проблему в версии прошивки 4.3.3, выпущенной 21 июля 2017 года.
«В данной версии системная функция заменена на qnap_exec, а функция qnap_exec определена в /usr/lib/libuLinux_Util.so.0. Использование execv для выполнения специальной команды позволило избежать внедрения команды», — пояснили специалисты.
Злоумышленники, стоящие за этими продолжающимися атаками, еще не полностью автоматизировали процесс и осуществляют некоторые части процесса вручную. В 360 Netlab еще не определили конечную цель злоумышленников, но обнаружили, что они развертывают одни и те же две полезные нагрузки на всех скомпрометированных устройствах, одной из которых является обратная оболочка, работающая порте TCP/1234.
Источник: securitylab