Базираната на Mirai ботнет мрежа InfectedSlurs използва уязвимост за изпълнение на отдалечен код (RCE) в устройствата QNAP VioStor NVR (Network Video Recorder), за да ги превземе и да ги превърне в част от своя DDoS (distributed denial of service) рояк.

Ботнетът е открит от екипа за разузнаване на сигурността (SIRT) на Akamai през октомври 2023 г., който наблюдава използването на две уязвимости от типа „нулев ден“ в маршрутизатори и NVR устройства, вероятно от края на 2022 г.

По това време и поради това, че доставчиците не са пуснали кръпки, Akamai предпочете да не разкрива никаква информация за недостатъците, които InfectedSlurs експлоатира.

Тъй като актуализациите на сигурността или информацията за двата нулеви дни бяха достъпни, Akamai публикува два последващи доклада (1, 2), за да запълни пропуските, оставени в първоначалния доклад от края на ноември.

Първият недостатък от типа нулев ден, използван от InfectedSlurs, се проследява като CVE-2023-49897 и засяга WiFi рутерите FXC AE1021 и AE1021PE.

Производителят пусна актуализация на сигурността на 6 декември 2023 г. с версия на фърмуера 2.0.10 и препоръча на потребителите да извършат нулиране на фабричните настройки и да променят паролата по подразбиране след нейното прилагане.

Втората уязвимост от типа нулев ден в атаките на ботнета е CVE-2023-47565, инжектиране на команди в операционната система с висока степен на опасност, засягаща моделите QNAP VioStor NVR с фърмуер QVR 4.x.

QNAP публикува консултация на 7 декември 2023 г., в която обяснява, че неизвестният досега проблем е отстранен във фърмуер QVR 5.x и по-късен, който е наличен за всички активно поддържани модели.

Тъй като версия 5.0.0 е пусната преди почти десет години, се прави изводът, че ботнетът Infected Slurs е насочен към наследените модели VioStor NVR, които никога не са актуализирали фърмуера си след първоначалната настройка.

Производителят препоръчва следните действия за уязвимите NVR устройства:

Влезте в QVR като администратор, отидете в „Контролен панел → Системни настройки → Актуализация на фърмуера“, изберете раздела „Актуализация на фърмуера“ и щракнете върху „Преглед“, за да намерите правилната версия за вашия конкретен модел.

Накрая щракнете върху „Update System“ (Актуализиране на системата) и изчакайте QVR да инсталира актуализацията.

Освен това препоръчва промяна на потребителските пароли на QVR чрез „Control Panel → Privilege → Users → Change Password“ (Контролен панел → Привилегии → Потребители → Промяна на паролата), въведете нова силна парола и щракнете върху „Apply“ (Приложи).

Модел на VioStor NVR, който е достигнал EOL (край на жизнения цикъл), може да няма налична актуализация, която да включва фърмуер 5.x или по-нов.

Тези устройства няма да получат актуализация за сигурност, така че единственото решение е да ги замените с по-нови, активно поддържани модели.