Una botnet de malware explota las cámaras IP vulnerables de AVTECH



573

Los investigadores han descubierto que la botnet de malware Corona Mirai está explotando activamente una vulnerabilidad de día cero en las cámaras IP de AVTECH. Dado que la cámara ha llegado al final de su vida útil, la vulnerabilidad no se solucionará y los usuarios se verán obligados a dejar de usarla.

La botnet de malware Corona Mirai explota una vulnerabilidad de día cero sin parchear en las cámaras IP de AVTECH

Según una publicación reciente de Akamai, los investigadores observaron numerosos ataques de la botnet de malware Corona Mirai dirigidos a vulnerabilidades no parcheadas en las cámaras IP de AVTECH.

En concreto, la vulnerabilidad atacada, CVE-2024-7029, llamó la atención de la investigadora Aline Eliovich. Recibió una calificación de gravedad alta con una puntuación CVSS de 8,7. Esta falla existe en la función de brillo de la cámara dentro del archivo /cgi-bin/supervisor/Factory.cgi. Según los investigadores,

…El argumento “brillo” del parámetro “acción=” permite la inyección de comandos.

Lo extraño de esta vulnerabilidad es que, aunque se conoce desde hace al menos cinco años y existía un exploit PoC, no se emitió un CVE hasta agosto de 2024. Afortunadamente, esta vulnerabilidad escapó a la explotación activa hasta marzo de 2024, momento en el que los investigadores de Akamai descubrieron una campaña activa de Corona que explotaba esta vulnerabilidad. Aún así, su análisis rastreó tales intentos de explotación hasta diciembre de 2023.

Esta vulnerabilidad afecta a la versión de firmware AVTECH IP Camera AVM1203 FullImg-1023-1007-1011-1009 y versiones anteriores. Los modelos afectados finalizaron su soporte hace varios años, por lo que no se proporcionarán correcciones de vulnerabilidades para mitigar la amenaza. Por lo tanto, los usuarios que sigan utilizando estas cámaras IP no compatibles corren riesgo hasta que se deshagan de los dispositivos afectados.

En cuanto a las estrategias de ataque, Akamai observó que la botnet de malware Corona Mirai aprovechaba los días cero para ejecutar código malicioso en ataques remotos. El atacante intenta “ejecutar un archivo JavaScript para recuperar y cargar la carga útil principal del malware”. Después de la ejecución, el malware se conecta a varios hosts a través de Telnet en los puertos 23, 2323 y 37215.

CISA ya había advertido anteriormente sobre esta vulnerabilidad.

Poco después de que a esta vulnerabilidad se le asignara un ID CVE, la CISA de EE. UU. emitió una alerta advirtiendo a los usuarios sobre una explotación activa. Según el aviso, esta amenaza existe en todo el mundo y se dirige específicamente a los sectores médico, comercial y financiero, que son los principales usuarios de dispositivos vulnerables.

Debido a que no hay soluciones de vulnerabilidad efectivas disponibles, CISA recomienda que los usuarios apliquen mitigaciones para reducir el riesgo. Estos pasos incluyen reducir la exposición de la red de los sistemas/dispositivos de control, aislar los sistemas/dispositivos de control locales detrás de un firewall y asegurar el acceso remoto con VPN.

Háganos saber su opinión en la sección de comentarios.


https://latesthackingnews.com/2024/09/01/malware-botnet-exploits-vulnerable-avtech-ip-cameras/