Akamai обнаружила новую волну атак на устаревшие камеры видеонаблюдения AVTECH
02/09/24
Злоумышленники эксплуатируют критическую уязвимость в модели AVM1203 для распространения вредоносного ПО семейства Mirai.
Уязвимость, получившая идентификатор CVE-2024-7029, позволяет удаленно выполнять произвольный код на устройстве. Несмотря на то, что проблема известна уже около 5 лет, официально она была признана и зарегистрирована только в этом месяце, указывает Securitylab. Эксперты Akamai зафиксировали активное использование этой бреши хакерами с марта текущего года. Для обнаружения атак исследователи развернули сеть ловушек, имитирующих уязвимые камеры в интернете.
Ботнет Mirai впервые громко заявил о себе в 2016 году, когда с его помощью была осуществлена мощная DDoS-атака на сайт эксперта по кибербезопасности Брайана Кребса. В последующие недели он использовался для атак на интернет-провайдеров и другие цели. Одна из таких атак на DNS-провайдера Dyn привела к масштабным сбоям в работе многих популярных веб-сервисов.
Ситуацию осложнило то, что создатели Mirai опубликовали исходный код вредоноса, что позволило практически любому желающему создавать собственные вариации для проведения DDoS-атак невиданной ранее мощности. По словам Кайла Лефтона, исследователя из команды Akamai по реагированию на угрозы, они наблюдали DDoS-атаки с использованием зараженных камер на "различные организации". При этом пока нет данных о том, что злоумышленники используют камеры для шпионажа или просмотра видеопотока.
Эксплуатируемая уязвимость связана с некорректной обработкой параметра brightness в запросе к файлу /cgi-bin/supervisor/Factory.cgi. Это и позволяет внедрять вредоносные команды. В ходе атаки на устройство загружается JavaScript-файл, который затем скачивает и запускает основную полезную нагрузку - вариант Mirai под названием Corona. После заражения устройства, вредонос пытается распространиться дальше, подключаясь по Telnet к другим хостам. Кроме того, он эксплуатирует ряд других уязвимостей, включая RCE в Hadoop YARN, CVE-2014-8361 и CVE-2017-17215.
Поскольку уязвимая модель камеры AVM1203 больше не поддерживается производителем, эксперты рекомендуют пользователям полностью отказаться от ее использования и заменить на более современные устройства. Кроме того, специалисты в очередной раз напоминают о необходимости изменения стандартных учетных данных на всех подключенных к интернету устройствах.