Criminelen hebben een zerodaylek gebruikt om QNAP VioStor NVR-apparaten onderdeel van een botnet te maken dat ddos-aanvallen uitvoert. QNAP kwam op 9 december met een waarschuwing voor de kwetsbaarheid, die daarvoor al werd misbruikt. Dat laat internetbedrijf Akamai in een analyse weten. Via het beveiligingslek is command injection mogelijk, waardoor een aanvaller op afstand commando's op kwetsbare apparaten kan uitvoeren.

QNAP VioStor NVR is een netwerksurveillance-oplossing voor het monitoren van ip-camera's, waaronder video-opnames, bekijken van beelden en remote toegang tot data. Volgens QNAP is de kwetsbaarheid (CVE-2023-47565) aanwezig in legacy QNAP VioStor NVR-modellen die QVR firmware 4.x draaien. Bij de waargenomen aanvallen versturen de aanvallers een speciaal geprepareerd request dat gebruikmaakt van het standaard wachtwoord van de VioStor. Vervolgens wordt zo malware op het apparaat geïnstalleerd.

QNAP stelt dat het de kwetsbaarheid al op 21 juni 2014 in versie 5.0.0 van de QVR-firmware heeft verholpen en adviseert gebruikers naar deze versie te updaten. Het bestaan van het beveiligingslek is nooit naar gebruikers toe gecommuniceerd, aldus Akamai. Volgens het internetbedrijf laten de aanvallen zie hoe belangrijk het is dat gebruikers tijdens de initiële setup het standaard wachtwoord wijzigen. "De aanwezigheid van standaard wachtwoorden en verouderde, niet meer ondersteunde netwerksystemen is een route voor botnet-infecties. Legacy systemen zijn een vruchtbare bodem voor het vinden en misbruiken van nieuwe kwetsbaarheden om zo malware te verspreiden", laat Akamai weten.

Afsluitend stelt het internetbedrijf dat de aanvallen benadrukken dat zowel bewustzijn als educatie rond best practices voor IoT-apparaten moeten worden versterkt, zowel bij eindgebruikers als fabrikanten. Zo zouden fabrikanten producten langer met updates moeten ondersteunen en gebruikers bij het eerste gebruik moeten verplichten om standaard wachtwoorden te wijzigen.