Les appareils NVR Qnap VioStor sont vulnérables à des bogues que les attaquants exploitent pour intégrer les appareils dans un botnet. La fuite en question est connue depuis quelque temps, mais Akamai, qui l’a découverte, vient d’en publier les détails parce qu’un correctif a été récemment publié.
Le botnet InfectedSlurs, fondé sur Mirai, réussit à intégrer les appareils via des vulnérabilités dans le logiciel Qnap VioStor NVR. Les appareils infectés sont ensuite utilisés pour lancer des attaques DDoS.
Akamai a découvert le botnet en octobre 2023, mais il semble que son exploitation ait commencé en fin 2022. En octobre, les fuites « zero day » exploitées étaient toutes nouvelles et il n’y avait pas de correctif. On n’a donc pas divulgué les détails de l’attaque. Entre-temps, Qnap a lancé quelques correctifs pour limiter les attaques. Donc maintenant, il est possible de partager les détails.
Correctif
Tout d’abord, si vous utilisez un NVR Qnap VioStor pour la surveillance par caméra, mettez immédiatement à jour le logiciel. Qnap conseille également aux utilisateurs de changer immédiatement leur mot de passe. Le correctif en question est disponible depuis le 7 décembre. Les micrologiciels QVR 5.x et plus récents ne contiennent pas les bogues, mais le risque est tout à fait réel pour tous les utilisateurs de QVR 4.x. InfecterSlurs exploite également les routeurs FXC. Pour ces appareils, il existe aussi un correctif.
Les vulnérabilités exploitées sont CVE-2023-49897 (FXC) et CVE-2023-47565 (Qnap). Le logiciel vulnérable de Qnap est plutôt ancien, étant donné que la version 5.0.0 a été lancée il y a une dizaine d’années. On suppose que les utilisateurs de matériel plus moderne ne courent pas de risque. Les criminels responsables du botnet semblent cibler principalement les anciens appareils. Il existe encore des NVR de Qnap si anciens qu’ils ne reçoivent plus de mises à jour. Si vous utilisez encore un tel appareil, vous êtes à la merci des pirates et il faut acheter du nouveau matériel.