Un botnet cunoscut sub numele de Corona Mirai exploatează o vulnerabilitate zero-day recent descoperită în camerele CCTV AVTECH. Această vulnerabilitate permite atacatorilor să execute comenzi de la distanță și să răspândească o variantă a malware-ului Mirai.
TL;DR
- Botnet-ul Corona Mirai exploatează o vulnerabilitate zero-day (CVE-2024-7029) în camerele CCTV AVTECH.
- Vulnerabilitatea permite Remote Code Execution printr-o funcție de „brightness”.
- Botnet-ul folosește o variantă de malware Mirai, observată inițial din 2020.
- Sunt vizate și alte vulnerabilități mai vechi, cum ar fi CVE-2014-8361 și CVE-2017-17215.
- Dispozitivele AVTECH sunt utilizate pe scară largă în infrastructura critică, chiar dacă au fost întrerupte de ani de zile.
Ce este vulnerabilitatea și cum te protejezi?
CVE-2024-7029 este o vulnerabilitate critică în camerele IP AVTECH care permite atacatorilor să execute comenzi de la distanță cu privilegii ridicate. Vulnerabilitatea se află în funcția de „brightness” a fișierului /cgi-bin/supervisor/Factory.cgi
, care procesează intrările utilizatorului fără validare corespunzătoare. Aceasta duce la o vulnerabilitate de injectare a codului.
Protecția împotriva unor astfel de vulnerabilități implică actualizarea regulată a firmware-ului și software-ului dispozitivelor pentru a remedia vulnerabilitățile cunoscute. De asemenea, utilizatorii ar trebui să dezactiveze sau să elimine hardware-ul învechit care nu mai primește suport pentru securitate.
Descoperirea și exploatarea vulnerabilității
Vulnerabilitatea CVE-2024-7029 în dispozitivele camerelor IP AVTECH a fost exploatată activ începând din decembrie 2023, cu prima campanie observată în martie 2024. Deși conceptul dovadă a acestei vulnerabilități a fost disponibil public din 2019, abia în august 2024 i-a fost atribuit un CVE.
Cum funcționează atacul?
Atacatorii exploatează vulnerabilitatea injectând comenzi arbitrare în sistemul dispozitivului, obținând astfel acces neautorizat și control. Aceștia răspândesc un botnet Mirai modificat către dispozitivele compromise, inclusiv vizând alte vulnerabilități mai vechi, cum ar fi CVE-2014-8361 și CVE-2017-17215.
Impactul și răspândirea botnetului
Numele botnet-ului, referitor la COVID-19, subliniază amenințarea continuă pe care o reprezintă astfel de vulnerabilități. Campania botnet-ului a vizat mai multe vulnerabilități și a demonstrat utilizarea widespread în infrastructura critică, în ciuda întreruperii dispozitivelor de ani de zile.
Recomandări pentru utilizatori și organizații
Pentru a vă proteja de astfel de atacuri, este esențial să:
- Actualizați periodic firmware-ul și software-ul dispozitivelor.
- Eliminați sau dezactivați hardware-ul vechi care nu mai primește actualizări de securitate.
- Monitorizați rețelele pentru activități neobișnuite și utilizați soluții de securitate pentru a bloca atacurile cunoscute.
Conform specialiștilor de la Akamai, vulnerabilitățile fără CVE-uri pot reprezenta amenințări semnificative, fiind utilizate în mod obișnuit de atacatori pentru propagarea malware-ului.
Sursa articolului:
https://cybersecuritynews.com/corona-mirai-rce-zero-day-exploit/