Qnap VioStor NVR-toestellen zijn kwetsbaar voor bugs die aanvallers uitbuiten om de toestellen te integreren in een botnet. Het lek bestaat al geruime tijd, maar ontdekker Akamai publiceert nu pas de details omdat er sinds kort ook een patch beschikbaar is.
Het Mirai-gebaseerde botnet InfectedSlurs slaagt erin om via kwetsbaarheden in de Qnap VioStor NVR-software de toestellen in te lijven. De getroffen apparaten worden vervolgens gebruikt om DDoS-aanvallen uit te voeren.
Akamai ontdekte het botnet al in oktober van 2023, maar misbruik startte vermoedelijk eind vorig jaar. In oktober bleken de misbruikte zeroday-lekken splinternieuw en bestond er geen patch. Details over de aanvallen bleven dus achter. Intussen heeft Qnap wel de nodige patches gelanceerd om aanvallen te blokkeren. Daarom is het nu wel verantwoord om details te delen.
patch
Eerst en vooral: wie een Qnap VioStor NVR gebruikt ter ondersteuning van z’n camerabewaking, moet onmiddellijk de software updaten. Qnap raadt gebruikers bovendien aan om hun wachtwoord onmiddellijk te veranderen. De patch in kwestie is sinds 7 december beschikbaar. QVR-firmware 5.x en recenter bevat de bugs niet, maar iedereen met QVR 4.x loopt risico. InfecterSlurs misbruikt ook FXC-routers. Voor die toestellen is eveneens een patch gelanceerd.
Uitgebuite kwetsbaarheden zijn CVE-2023-49897 (FXC) en CVE-2023-47565 (Qnap). De kwetsbare software van Qnap is best oud, aangezien versie 5.0.0 al zo’n tien jaar geleden werd gelanceerd. Wie modernere hardware bezit, loopt vermoedelijk geen risico. Het lijkt erop dat de criminelen achter het botnet zich vooral richten op oude toestellen. Er circuleren ook nog NVR’s van Qnap die zo oud zijn dat ze geen updates meer krijgen. Wie zo’n toestel nog gebruikt is een vogel voor de kat en moeten nieuwe hardware aanschaffen.