„Corona Mirai“ pagrindu sukurtas kenkėjiškų programų botnetas plinta per 5 metų senumo nuotolinio kodo vykdymo (RCE) nulinę dieną AVTECH IP kamerose, kurios buvo nutrauktos daugelį metų ir negaus pataisos.
Trūkumas, kurį aptiko Akamai atstovė Aline Eliovich, yra pažymėtas kaip CVE-2024-7029 ir yra labai rimta (CVSS v4 balas: 8,7) fotoaparatų „ryškumo“ funkcijos problema, leidžianti neautentifikuotiems užpuolikams įvesti komandas tinkle. naudojant specialiai parengtus prašymus.
Konkrečiai, nesunkiai išnaudojamas trūkumas slypi AVTECH fotoaparatų programinės aparatinės įrangos parametro „action=“ argumente „ryškumas“, skirtas leisti nuotoliniu būdu reguliuoti fotoaparato ryškumą.
Trūkumas turi įtakos visoms AVTECH AVM1203 IP kameroms, kuriose veikia programinės įrangos versijos iki Fullmg-1023-1007-1011-1009.
Dėl paveiktų modelių, kurių Taivano pardavėjas nebepalaiko, 2019 m. pasibaigus jų eksploatavimo laikui (EoL), nėra pataisų, skirtų CVE-2024-7029, ir nesitikima, kad bus išleisti jokie pataisymai.
JAV kibernetinio saugumo ir infrastruktūros saugumo agentūra mėnesio pradžioje paskelbė įspėjimą, perspėjantį apie CVE-2024-7029 ir viešųjų išnaudojimų prieinamumą, perspėjant, kad kameros vis dar naudojamos komercinėse patalpose, finansinėse paslaugose, sveikatos priežiūros ir visuomenės sveikatos srityse. ir transporto sistemos.
Koncepcijos įrodymo (PoC) išnaudojimai dėl konkretaus trūkumo buvo prieinami mažiausiai nuo 2019 m., tačiau CVE buvo priskirtas tik šį mėnesį ir anksčiau nebuvo pastebėta jokio aktyvaus išnaudojimo.
Vyksta išnaudojimas
„Corona“ yra „Mirai“ pagrindu sukurtas variantas, egzistuojantis mažiausiai nuo 2020 m., kuriame išnaudojami įvairūs daiktų interneto įrenginių pažeidžiamumai.
„Akamai“ SIRT komanda praneša, kad nuo 2024 m. kovo 18 d. „Corona“ pradėjo naudoti CVE-2024-7029 atakoms laukinėje gamtoje, nukreipdama į AVM1203 kameras, vis dar naudojamas, nepaisant to, kad EoL jos pasiekė prieš penkerius metus.
Pirmoji aktyvi kampanija, kurią stebėjome, prasidėjo 2024 m. kovo 18 d., tačiau analizė parodė šio varianto aktyvumą jau 2023 m. gruodžio mėn. CVE-2024-7029 koncepcijos įrodymas (PoC) buvo viešai prieinamas mažiausiai nuo 2019 m. vasario mėn., tačiau ji niekada neturėjo tinkamos CVE užduoties iki 2024 m. rugpjūčio mėn.
Corona atakos, kurios buvo užfiksuotos Akamai medaus puoduose, išnaudoja CVE-2024-7029, kad atsisiųstų ir paleistų „JavaScript“ failą, kuris savo ruožtu įkelia pagrindinį „botnet“ naudingąjį apkrovą į įrenginį.
Įdėjus į įrenginį kenkėjiška programa, ji prisijungia prie savo komandų ir valdymo (C2) serverių ir laukia instrukcijų, kaip vykdyti paskirstytas paslaugų atsisakymo (DDoS) atakas.
Kiti „Corona“ trūkumai, remiantis „Akamai“ analize, yra šie:
- CVE-2017-17215: „Huawei“ maršrutizatorių pažeidžiamumas, leidžiantis nuotoliniams užpuolikams vykdyti savavališkas komandas paveiktuose įrenginiuose, išnaudojant netinkamą UPnP paslaugos patvirtinimą.
- CVE-2014-8361: Realtek SDK nuotolinio kodo vykdymo (RCE) pažeidžiamumas, kuris dažnai randamas vartotojų maršrutizatoriuose. Šį trūkumą galima išnaudoti naudojant šiuose maršrutizatoriuose veikiančią HTTP paslaugą.
- Hadoop YARN RCE: Hadoop YARN (dar vienas resursų derybininkas) išteklių valdymo sistemos pažeidžiamumas, kurį galima išnaudoti, kad būtų galima nuotoliniu būdu vykdyti kodą Hadoop klasteriuose.
AVTECH AVM1203 IP kamerų naudotojams rekomenduojama nedelsiant jas atjungti ir pakeisti naujesniais bei aktyviai palaikomais modeliais.
Kadangi IP kameros dažniausiai yra veikiamos internete, todėl jos yra patrauklios grėsmės subjektams, jos visada turėtų paleisti naujausią programinės įrangos versiją, kad būtų ištaisytos žinomos klaidos. Jei įrenginio gamyba nutraukiama, jį reikia pakeisti naujesniais modeliais, kad ir toliau būtų gauti saugos naujinimai.
Be to, numatytieji kredencialai turėtų būti pakeisti į tvirtus ir unikalius slaptažodžius ir atskirti nuo kritinių ar gamybos tinklų.