CVE-2024-7029 (CVSS rezultat: 8,7), ranjivost o kojoj je riječ, je “ranjivost ubrizgavanja komande koja se nalazi u funkciji svjetline AVTECH televizijskih kamera zatvorenog kruga (CCTV) koja omogućava daljinsko izvršavanje koda (RCE)” Akamai istraživači Kyle Lefton, Larry Cashdollar i Aline Eliovich rekli su .
Detalje o sigurnosnim nedostacima prvi put je objavila američka Agencija za kibernetičku sigurnost i sigurnost infrastrukture (CISA) ranije ovog mjeseca, ističući nisku složenost napada i mogućnost njegovog daljinskog iskorištavanja.
“Uspješno iskorištavanje ove ranjivosti moglo bi omogućiti napadaču da ubaci i izvrši komande kao vlasnik pokrenutog procesa”, navela je agencija u upozorenju objavljenom 1. avgusta 2024.
Vrijedi napomenuti da problem ostaje neriješen. Utječe na AVM1203 uređaje s kamerom koristeći verzije firmvera do i uključujući FullImg-1023-1007-1011-1009. Ovi uređaji, iako su ukinuti, i dalje se koriste u komercijalnim objektima, finansijskim uslugama, zdravstvu i javnom zdravstvu, sektorima transportnih sistema, prema CISA-i.
Akamai je rekao da je kampanja napada u toku od marta 2024. godine, iako je ranjivost imala eksploataciju javnog dokaza o konceptu (PoC) još u februaru 2019. Međutim, CVE identifikator nije izdat do ovog mjeseca.
“Zlonamjerni hakeri koji upravljaju ovim botnetima koriste nove ranjivosti ili ranjivosti ispod radara kako bi proliferirali zlonamjerni softver”, rekla je kompanija za web infrastrukturu. “Postoje mnoge ranjivosti s javnim eksploatacijama ili dostupnim PoC-ovima kojima nedostaje formalna CVE dodjela, a, u nekim slučajevima, uređaji ostaju nezakrpljeni.”
Lefton je za The Hacker News rekao da trenutno nema dostupnih podataka o tome koliko su ovi napadi rasprostranjeni, iako se procjenjuje da je 27.000 AVTech uređaja izloženo internetu. Međutim, kompanija je rekla da ima konačne informacije o atribuciji koje namjerava otkriti u budućnosti.
Lanci napada su prilično jednostavni po tome što koriste nedostatak AVTECH IP kamere, zajedno sa drugim poznatim ranjivostima ( CVE-2014-8361 i CVE-2017-17215 ), kako bi proširili Mirai botnet varijantu na ciljne sisteme.
“U ovom slučaju, botnet vjerovatno koristi varijantu Corona Mirai, koju su drugi dobavljači spominjali još 2020. u vezi s virusom COVID-19”, rekli su istraživači. “Poslije izvršenja, zlonamjerni softver se povezuje s velikim brojem hostova preko Telneta na portovima 23, 2323 i 37215. Također ispisuje string ‘Corona’ na konzoli na zaraženom hostu.”
Razvoj dolazi nedeljama nakon što su kompanije za sajber bezbjednost Sekoia i Team Cymru detaljno opisale “misteriozni” botnet pod nazivom 7777 (ili Quad7) koji je koristio narušene TP-Link i ASUS rutere za insceniranje napada lozinkom na Microsoft 365 naloge. Do 5. avgusta 2024. identifikovano je čak 12.783 aktivnih bota.
“Ovaj botnet je poznat u otvorenom kodu po postavljanju SOCKS5 proksija na narušene uređaje kako bi prenio ekstremno spore ‘brute-force’ napade na Microsoft 365 račune mnogih entiteta širom svijeta”, rekli su istraživači Sekoie , napominjući da je većina zaraženih rutera nalazi se u Bugarskoj, Rusiji, SAD-u i Ukrajini.
Iako je botnet dobio ime po činjenici da otvara TCP port 7777 na kompromitovanim uređajima, naknadna istraga tima Cymru je od tada otkrila moguću ekspanziju da uključi drugi set botova koji se uglavnom sastoje od ASUS rutera i karakteriziraju otvoreni port 63256.
“Quad7 botnet i dalje predstavlja značajnu prijetnju, pokazujući i otpornost i prilagodljivost, čak i ako je njegov potencijal trenutno nepoznat ili nedostižan”, rekao je tim Cymru . “Veza između 7777 i 63256 botneta, uz zadržavanje onoga što se čini kao poseban operativni silos, dodatno naglašava evoluirajuću taktiku operatera prijetnji iza Quad7.”
Izvor: TheHackerNews
