20 dic. 2014

Sistemas NAS de QNAP atacados por ShellShock (Parchea!)

Expertos de SANS Institute descubrieron un gusano que está explotando la vulnerabilidad Shellshock para comprometer sistemas Network Attached Storage (NAS) de la empresa coreana QNAP. Los sistemas NAS se utilizan en las empresas para almacenar grandes volúmenes de archivos y bases de datos y esto hace que un NAS sea un objetivo atractivo para los atacantes, dado los amplios tipos de datos que almacenan.

FireEye ha estado monitoreando los ataques relacionados con Shellshock y ha observado que los atacantes intentan aprovechar esta vulnerabilidad de inyección de código remoto Bash para obtener un shell remoto en el sistema comprometido y acceder al contenido de los NAS. Los objetivos se han ubicado principalmente en Japón, Corea y Estados Unidos.

Prácticamente todos los dispositivos NAS ejecutan un Linux embebido que es vulnerable a CVE-2014-6271 más conocida como ShellShock. Esta vulnerabilidad es particularmente grave porque concede privilegios de root al atacante. La Prueba de Concepto se discute públicamente aquí.
$ curl -A '() { :;}; echo Content-Type: text/html; echo; echo
`/usr/bin/id`' http://QNAP_QTS:8080/cgi-bin/restore_config.cgi
*uid=0(admin) gid=0(administrators)*
HTTP/1.1 200 OK
Basado en la cantidad de dispositivos que ejecute un sistema operativo Linux embebido y la ventana de tiempo para parchearlos, existe un potencial compromiso a gran escala de dispositivos almacenamiento y del tipo IoT. Hay pruebas de que los atacantes están aprovechando activamente la vulnerabilidad dirigida a dispositivos embebidos de QNAP con el fin de subir su clave SSH al archivo "authorized_keys" e instalar un ELF Backdoor.

En el post publicado por SANS explican que, a pesar de QNAP ya lanzó el parche en octubre, muchos dispositivos fueron infectados por el gusano y todavía hay un montón de usuarios que no han actualizado sus sistemas. El ataque apunta al script CGI de QNAP "cgi-bin/authLogin.cgi", un conocido vector de ataque para Shellshock.

El escenario de ataque es muy interesante: una vez modificado el sistema QNAP el gusano crea un nuevo usuario administrativo para obtener una backdoor persistente. El gusano también parchea Shellshock para evitar que otro malware pueda explotarlo. El dispositivos infectado también ejecutan un script que permite realizar fraudes de click contra la red de publicidad JuiceADV. Además los dispositivos infectados buscan otros dispositivos vulnerables. Parte del código ya se encuentra en Pastebin.

La lista detallada de las acciones realizadas por el gusano:
  • Establece el servidor DNS 8.8.8.8
  • Crea un servidor SSH en el puerto 26
  • Agrega un usuario admin llamado "request"
  • Descarga y copia una secuencia de comandos CGI a to cgi-bin: armgH.cgi y exo.cgi
  • Modifica el autorun.sh para ejecutar backdoors en el reinicio
  • Descargar e instala el parche de Shellshock para QNAP y reinicia el dispositivo.
El gusano instala también muchos otros componentes maliciosos. A los administradores que todavía no parcheado su sistema QNAP, deben hacerlo con urgencia. Según el comunicado de prensa de QNAP, los usuarios deberían desconectar los sistemas que son directamente accesibles desde Internet hasta que se aplique la actualización. Aquí explican cómo remover la infección.

Fuente: Security Affairs

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!