Un botnet basé sur Mirai nommé « InfectedSlurs » exploite une vulnérabilité d’exécution de code à distance (RCE) dans les périphériques QNAP VioStor NVR (Enregistreur vidéo réseau) pour les détourner et les intégrer à son essaim DDoS (déni de service distribué).
Le botnet a été découvert par l’Équipe de réponse aux renseignements de sécurité (SIRT) d’Akamai en octobre 2023, qui a observé l’exploitation de deux vulnérabilités zero-day dans les routeurs et les périphériques NVR, probablement à partir de la fin de 2022.
À l’époque, et en raison du fait que les fournisseurs n’avaient pas publié de correctifs, Akamai avait choisi de ne divulguer aucune information sur les failles exploitées par InfectedSlurs.
Au fur et à mesure que les mises à jour de sécurité ou les informations sur les deux jours zéro ont été mises à disposition, Akamai a publié deux rapports de suivi (1, 2) pour combler les lacunes laissées dans le rapport initial de fin novembre.
La première faille zero-day exploitée par InfectedSlurs est suivie sous le numéro CVE-2023-49897 et affecte les routeurs WiFi FXC AE1021 et AE1021PE.
Le fournisseur a publié une mise à jour de sécurité le 6 décembre 2023, avec la version 2.0.10 du micrologiciel, et a recommandé aux utilisateurs d’effectuer une réinitialisation d’usine et de modifier le mot de passe par défaut après son application.
La deuxième vulnérabilité zero-day dans les attaques du botnet est CVE-2023-47565, une injection de commande de système d’exploitation de gravité élevée affectant les modèles NVR QNAP VioStor exécutant le micrologiciel QVR 4.x.
QNAP a publié un avis le 7 décembre 2023, expliquant que le problème jusque-là inconnu avait été résolu dans le micrologiciel QVR 5.x et versions ultérieures, qui est disponible pour tous les modèles activement pris en charge.
Depuis la sortie de la version 5.0.0 il y a près de dix ans, il est déduit que le botnet Slurs infecté cible les anciens modèles de NVR VioStor qui n’ont jamais mis à jour leur micrologiciel après la configuration initiale.
Le fournisseur recommande les actions suivantes sur les périphériques NVR vulnérables:
Connectez-vous à QVR en tant qu’administrateur, accédez à « Panneau de configuration → Paramètres système → Mise à jour du micrologiciel », sélectionnez l’onglet « Mise à jour du micrologiciel », puis cliquez sur « Parcourir » pour localiser la bonne version pour votre modèle spécifique.
Enfin, cliquez sur « Mettre à jour le système » et attendez que QVR installe la mise à jour.
De plus, il recommande de modifier les mots de passe des utilisateurs sur QVR via « Panneau de configuration → Privilèges → utilisateurs → Modifier le mot de passe », entrez un nouveau mot de passe fort et cliquez sur « Appliquer ».’
Un modèle de NVR VioStor qui a atteint sa fin de vie (fin de vie) peut ne pas disposer d’une mise à jour disponible incluant le micrologiciel 5.x ou plus tard.
Ces appareils ne recevront pas de mise à jour de sécurité, la seule solution consiste donc à les remplacer par des modèles plus récents et activement pris en charge.