QNAP जीरो-डेज़ 80K डिवाइसों को साइबर हमले के प्रति संवेदनशील बनाता है

QNAP जीरो-डेज़ 80K डिवाइसों को साइबर हमले के प्रति संवेदनशील बनाता है

समय टिकट: 5 अप्रैल, 2023 11:23 पूर्वाह्न

नेटवर्क अटैच्ड स्टोरेज (एनएएस) उपकरणों के लिए कई गुणवत्ता नेटवर्क उपकरण प्रदाता (क्यूएनएपी) ऑपरेटिंग सिस्टम (ओएस) में शून्य-दिन की कमजोरियों की एक जोड़ी दुनिया भर में अनुमानित 80,000 उपकरणों को प्रभावित कर रही है। वे चार प्रभावित ओएस में से दो के लिए अप्रकाशित रहते हैं।

QNAP इंटरनेट ऑफ थिंग्स (IoT) स्टोरेज, नेटवर्किंग और स्मार्ट वीडियो के लिए गियर और सॉफ्टवेयर प्रदान करता है। स्टर्नम के शोधकर्ताओं द्वारा खोजे गए ओएस बग मेमोरी एक्सेस उल्लंघन हैं, जो अस्थिर कोड का कारण बन सकते हैं और एक प्रमाणित साइबर अपराधी को मनमाना कोड निष्पादित करने का मार्ग प्रदान कर सकते हैं।

CVE-2022-27597 और CVE-2022-27598 के तहत ट्रैक की गई कमजोरियाँ QTS, QuTS हीरो, QuTScloud और QVP OS को प्रभावित करती हैं। स्टर्नम के अनुसार, और QTS संस्करण 5.0.1.2346 बिल्ड 20230322 (और बाद में) और QuTS हीरो संस्करण h5.0.1.2348 बिल्ड 20230324 (और बाद में) में तय किया गया है। QuTScloud और QVP OS को पैच नहीं किया गया है, लेकिन QNAP ने कहा कि वह खामियों को "तत्काल ठीक" कर रहा है।

QNAP उपकरण का एक चित्र

स्रोत: QNAP

स्टर्नम शोधकर्ता बताते हैं कि मेमोरी एक्सेस उल्लंघन प्रदर्शन के साथ-साथ QNAP उपकरणों की सुरक्षा को भी प्रभावित करते हैं।

"प्रदर्शन के दृष्टिकोण से, वे स्थिरता के मुद्दों और अप्रत्याशित कोड व्यवहार को जन्म दे सकते हैं," स्टर्नम के अनुसंधान सुरक्षा निदेशक अमित सर्पर ने डार्क रीडिंग को निष्कर्षों के बारे में बताया। "सुरक्षा के दृष्टिकोण से, उनका उपयोग किसी दुर्भावनापूर्ण ख़तरे वाले अभिनेता द्वारा मनमाने कोड निष्पादन के लिए किया जा सकता है।"

RSI QNAP सुरक्षा सलाह आगे कहते हैं, "यदि शोषण किया जाता है, तो भेद्यता दूरस्थ प्रमाणित उपयोगकर्ताओं को गुप्त मान प्राप्त करने की अनुमति देती है।"

जबकि बग को "कम-गंभीरता" का दर्जा दिया गया है, और अब तक, स्टर्नम के शोधकर्ताओं ने उन्हें जंगल में शोषण करते नहीं देखा है, जल्दी से पैच लगाना मायने रखता है - QNAP उपयोगकर्ता साइबर अपराधियों के बीच यह पसंदीदा लक्ष्य बना हुआ है।

QNAP साइबर हमलावर कैटनीप क्यों है?

RSI डेडबोल्ट रैंसमवेयर समूह विशेष रूप से शून्य-दिन की कमजोरियों की श्रृंखला का दोहन करते हुए देखा गया QNAP के विरुद्ध व्यापक साइबर अभियान अकेले 2022 में उपयोगकर्ता, मई में नियमित रूप से सतह पर आना, जून और सितंबर..

वल्कन साइबर के वरिष्ठ तकनीकी इंजीनियर मार्क पार्किन के अनुसार, डेडबोल्ट स्पष्ट रूप से QNAP खामियों को खोजने और उनका दोहन करने में प्रयास करने में विफल रहा है, अधिमानतः महत्वपूर्ण शून्य-दिन।

पार्किन बताते हैं, "कभी-कभी यह कहा जाता है कि किसी लक्ष्य में एक भेद्यता खोजने से लोग और अधिक की तलाश में लग जाएंगे।" “यहाँ मुद्दा यह है कि वे जितना देख रहे हैं उससे कहीं अधिक पा रहे हैं। यह आपको लगभग आश्चर्यचकित कर देता है कि क्या हमलावरों के पास स्रोत कोड तक पहुंच नहीं है, या अंदरूनी ट्रैक प्राप्त करने का कोई अन्य तरीका नहीं है।

मिलीभगत के संदेह को छोड़ दें, तो यह संगठनों पर निर्भर है कि वे सुनिश्चित करें कि उनके अत्यधिक लक्षित QNAP सिस्टम अद्यतित हैं, विशेष रूप से यह देखते हुए कि कुछ आवृत्ति के साथ नए बग प्रकाश में आ रहे हैं। फरवरी में स्टर्नम के नवीनतम निष्कर्षों के अलावा, के उपयोगकर्ता क्यूएनएपी क्यूटीएस ओएस 9.8 के सीवीएसएस स्कोर के साथ एक गंभीर एसक्यूएल इंजेक्शन समस्या के प्रति सचेत किया गया था। इन खुलासों से हमले की सतह और भी चौड़ी हो गई है।

सबसे हालिया कमजोरियों के मामले में, बिना पैच उपलब्ध सिस्टम वाले उपयोगकर्ताओं को एक मजबूत एंडपॉइंट डिटेक्शन एंड रिस्पॉन्स (ईडीआर) समाधान का उपयोग करना चाहिए और समझौता के संकेतकों की तलाश करनी चाहिए। क्योंकि साइबर हमलावरों को प्रमाणित करने की आवश्यकता होगी, कमजोर सिस्टम तक पहुंच रखने वाले लोगों का ऑडिट करने और अतिरिक्त प्रमाणीकरण सुरक्षा प्रदान करने से भी हमले को कम करने में मदद मिल सकती है।

एक शोधकर्ता ने चेतावनी दी है कि ऐसे मामलों में भी जहां पैच उपलब्ध हैं, वास्तव में उपकरणों को बंद करने के लिए कुछ कंपनियों की मानसिकता में बदलाव की आवश्यकता हो सकती है। 

"क्यूएनएपी उपकरण साइबर अपराधियों के लिए बहुत आकर्षक हैं जिनकी रणनीति बड़ी संख्या में पीड़ितों से थोड़ी सी रकम मांगने की है,'' वियाकू के सीईओ बड ब्रूमहेड कहते हैं। "क्योंकि QNAP डिवाइस, कई अन्य IoT डिवाइसों के साथ, बड़े पैमाने पर IT के बाहर प्रबंधित किए जाते हैं, उन्हें अक्सर गलत तरीके से कॉन्फ़िगर किया जाता है, फ़ायरवॉल द्वारा असुरक्षित छोड़ दिया जाता है, और बिना पैच किए छोड़ दिया जाता है।

वह कहते हैं, "ये उपकरण अक्सर कॉर्पोरेट आईटी और सुरक्षा टीमों के लिए अदृश्य होते हैं और जब वे अनुपालन से बाहर हो जाते हैं, जैसे कि पुराने और असुरक्षित फर्मवेयर पर होने पर उनका ऑडिट या निरीक्षण नहीं किया जाता है।"

समय टिकट:

से अधिक डार्क रीडिंग