Ranljivost RCE CVE-2024-7029 v napravah AVTECH IP kamer omogoča napadalcem daljinsko izvajanje ukazov z višjimi privilegiji, kar se lahko uporabi za širjenje različice Mirai v cilj sistem. CISA je zaradi nizke kompleksnosti napadov in znane javne izkoriščenosti izdala ICS svetovalno obvestilo za to ranljivost.
Kampanja botnet izkorišča različne ranljivosti, vključno z AVTECH ranljivostmi, Hadoop YARN RCE in starejšimi ranljivostmi, kot sta CVE-2014-8361 in CVE-2017-17215, kar poudarja napadalčevo težnjo po izkoriščanju nepopravljenih ranljivosti, tudi če se štejejo za nizko prioriteto, za dosego svojih zlonamernih ciljev.
Pomanjkanje dodelitev CVE za številne nedavne ranljivosti z elementi RCE otežuje sledenje in odpravljanje le-teh, kar predstavlja pomembno varnostno tveganje, še posebej ob upoštevanju potenciala za daljinsko izvajanje kode.
CVE-2024-7029 je kritična ranljivost v AVTECH IP kamerah, ki omogoča napadalcem izvajanje poljubnih ukazov na napravi z manipulacijo parametra “svetlost” v URL parametru “action=”, ki so ga izkoriščali napadalci za širjenje različice Mirai, zlonamernega IoT botneta z imeni, povezanimi z virusom COVID-19.
Izkoristek za CVE-2024-7029 je javno dostopen vsaj od leta 2019, vendar mu ni bil dodeljen CVE do avgusta 2024. Aktivne kampanje, ki uporabljajo ta izkoristek, so bile opažene od decembra 2023, pri čemer se je prva večja kampanja začela marca 2024.
Lahko potencialno ogrozi varnost ključnih infrastrukturnih entitet po vsem svetu, saj se te naprave še vedno uporabljajo kljub ukinitvi. Prizadete naprave so specifično tiste, ki uporabljajo firmware AVM1203 različice FullImg-1023-1007-1011-1009.
Izkoristek izkorišča ranljivost v funkciji svetlosti v datoteki /cgi-bin/supervisor/Factory.cgi. Z manipulacijo parametra svetlost v URL-ju lahko napadalci izvajajo poljubne ukaze na ranljivem sistemu, kar zaradi nepravilnega preverjanja in čiščenja vhodnih podatkov v funkciji svetlost omogoča napadalcem vnos zlonamerne kode in pridobivanje nepooblaščenega dostopa.
Napadalec je izkoristil ranljivost za izvajanje daljinske kode na cilj sistemu in nato prenesel ter zagnal JavaScript datoteko, ki je pridobila in naložila različico Mirai zlonamerne programske opreme, posebej različico Corona Mirai.
Ta zlonamerna programska oprema se je povezovala z več gostitelji prek Telnet na določenih vratih in prikazovala niz “Corona” na okuženem gostitelju.
Zlonamerna programska oprema cilja na naprave Huawei z uporabo izkoristka CVE-2017-17215, pošiljajoč POST zahtevo na /ctrlt/DeviceUpgrade_1, ki vbrizga zlonamerne ukaze z uporabo XML za prenos in izvajanje skripta iz ukazno-nadzornega strežnika.
Akamai SIRT je identificiral nov trend napadov, ki vključuje izkoriščanje nepopravljenih ranljivosti brez formalnih dodelitev CVE, kar zaradi pomanjkanja CVE pogosto spregledajo, vendar predstavljajo pomembna varnostna tveganja.
Zlonamerni akterji izkoriščajo te ranljivosti za širjenje zlonamerne programske opreme in kompromitiranje sistemov. Za zmanjšanje tveganj se organizacijam priporoča, da prioritizirajo odpravljanje znanih ranljivosti, ukinjanje zastarele strojne in programske opreme ter ohranjajo informiranost o novih grožnjah.