Новости Неисправленная уязвимость в IP-камерах AVTECH используется Mirai-ботнетом

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.223
Репутация
11.695
Реакции
61.957
RUB
50
Ботнет Corona (вариация Mirai) распространяется через RCE-уязвимость нулевого дня пятилетней давности в IP-камерах AVTECH.


Эти устройства давно сняты с производства, поэтому пачтей ожидать не стоит.

Уязвимость была обнаружена специалистами и получила идентификатор CVE-2024-7029 (8,7 балла по шкале CVSS). Баг связан с функцией Brightness («Яркость») и позволяет неаутентифицированным злоумышленникам осуществлять инъекции команды с помощью специально подготовленных запросов.

security-camera-AdobeStock_86090219-e1591612008318.jpeg


Проблема затрагивает все IP-камеры AVTECH AVM1203, работающие на прошивках до версии Fullmg-1023-1007-1011-1009. Так как поддержка этих камер уже прекращена, а срок их эксплуатации истек еще в 2019 году, патчей для CVE-2024-7029 нет и выпускать их не планируют.

Эксперты Агентства по кибербезопасности и защите инфраструктуры США (CISA) , что уязвимость CVE-2024-7029 уже взята на вооружение хакерами и для нее существуют публично доступные эксплоиты. По данным специалистов, уязвимые камеры по-прежнему используются на коммерческих объектах, в финансовых организациях, а также в сфере здравоохранении и транспортных системах.

При этом PoC-эксплоиты для этой проблемы существуют как минимум с 2019 года, однако идентификатор CVE был присвоен уязвимости только в этом месяце, и активных атак на нее ранее замечено не было.


PoC-эксплоит для CVE-2024-7029

Как сообщают исследователи Akamai, Corona — это созданный на базе Mirai вредонос, который существует как минимум с 2020 года и эксплуатирует для распространения различные уязвимости в IoT-устройствах. Начиная с 18 марта 2024 года, Corona использует в своих атаках проблему CVE-2024-7029, взламывая уязвимые IP-камеры AVM1203.

Атаки Corona были зафиксированы ханипотами Akamai. Хакеры использовали CVE-2024-7029 для загрузки и выполнения JavaScript-файла, который, в свою очередь, загружал на устройство жертвы основную полезную нагрузку ботнета.

Проникнув на устройство, малварь подключается к своим управляющим серверам и ожидает дальнейших инструкций для выполнения DDoS-атак.

По словам исследователей, Corona также эксплуатирует и другие уязвимости в IoT-девайсах, включая:
  • CVE-2017-17215 — уязвимость в маршрутизаторах Huawei, позволяющая удаленным атакующим выполнять произвольные команды на затронутых устройствах за счет некорректной валидации в службе UPnP.
  • CVE-2014-8361 — RCE-уязвимость в Realtek SDK, который часто встречается в маршрутизаторах. Может использоваться через службу HTTP, запущенную на устройствах.
  • Hadoop YARN RCE — уязвимость в системе управления ресурсами Hadoop YARN (Yet Another Resource Negotiator), которая может использоваться для удаленного выполнения кода в кластерах Hadoop.
Владельцам уязвимых камер AVTECH AVM1203 настоятельно рекомендуется как можно скорее отключить их и заменить на более новые и поддерживаемые устройства.


 
Я думаю, если вы просто объявите об эксплуатации уязвимостей или также поделитесь их кодами
 
Сверху Снизу