AVTECH IP kameralarını etkileyen yıllardır var olan yüksek öneme sahip bir açık, kötü niyetli kişiler tarafından sıfırıncı gün açığı olarak kullanılarak onları bir botnet’e dahil etmek için kullanıldı.
Söz konusu güvenlik açığı olan CVE-2024-7029 (CVSS puanı: 8,7), “uzaktan kod yürütmeye (RCE) izin veren AVTECH kapalı devre televizyon (CCTV) kameralarının parlaklık işlevinde bulunan bir komut enjeksiyonu güvenlik açığıdır”, Akamai araştırmacıları Kyle Lefton, Larry Cashdollar ve Aline Eliovich söz konusu.
Güvenlik açığının ayrıntıları ilk olarak bu ayın başlarında ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) tarafından kamuoyuna duyurulmuş ve düşük saldırı karmaşıklığı ile uzaktan istismar edilebilme yeteneği vurgulanmıştı.
“Bu güvenlik açığının başarılı bir şekilde istismar edilmesi, bir saldırganın çalışan işlemin sahibi olarak komutları enjekte etmesine ve yürütmesine olanak tanıyabilir” diyor kurum. not edildi 1 Ağustos 2024’te yayınlanan bir uyarıda.
Sorunun yamalanmamış olduğunu belirtmekte fayda var. FullImg-1023-1007-1011-1009’a kadar olan donanım yazılımı sürümlerini kullanan AVM1203 kamera cihazlarını etkiliyor. Cihazlar, üretimi durdurulmuş olsa da, CISA’ya göre ticari tesislerde, finansal hizmetlerde, sağlık ve halk sağlığı ile ulaşım sistemleri sektörlerinde hala kullanılıyor.
Akamai, saldırı kampanyasının Mart 2024’ten beri devam ettiğini, ancak güvenlik açığının bir süredir devam ettiğini söyledi. genel kavram kanıtı (PoC) istismarı Şubat 2019’a kadar. Ancak, bu aya kadar bir CVE tanımlayıcısı yayınlanmadı.
“Bu botnetleri işleten kötü niyetli aktörler, kötü amaçlı yazılımları yaymak için yeni veya radar altında olan güvenlik açıklarını kullanıyor,” dedi web altyapı şirketi. “Resmi CVE ataması olmayan, genel istismarlara veya kullanılabilir PoC’lere sahip birçok güvenlik açığı var ve bazı durumlarda cihazlar yamalanmamış durumda.”
Lefton, The Hacker News’e, bu saldırıların ne kadar yaygın olduğuna dair şu anda hiçbir veri bulunmadığını, ancak tahmini olarak 27.000 AVTech cihazının internete açık olduğunu söyledi. Ancak şirket, ileride bir tarihte ifşa etmeyi planladığı kesin atıf bilgilerine sahip olduğunu söyledi.
Saldırı zincirleri, AVTECH IP kamera açığının yanı sıra diğer bilinen güvenlik açıklarından da yararlandıkları için oldukça basittir (CVE-2014-8361 Ve CVE-2017-17215), hedef sistemlere Mirai botnet varyantını yaymak.
“Bu örnekte, botnet muhtemelen Corona Mirai varyantını kullanıyor; bu varyanta şu şekilde atıfta bulunulmuştur: diğer satıcılar Araştırmacılar, “COVID-19 virüsüyle ilgili olarak 2020’nin başlarında,” dedi. “Yürütme sırasında, kötü amaçlı yazılım Telnet üzerinden 23, 2323 ve 37215 portlarında çok sayıda ana bilgisayara bağlanır. Ayrıca, enfekte olmuş bir ana bilgisayardaki konsola ‘Corona’ dizesini yazdırır.”
Gelişme, siber güvenlik firmaları Sekoia ve Team Cymru’nun, Microsoft 365 hesaplarına karşı parola püskürtme saldırıları düzenlemek için tehlikeye atılmış TP-Link ve ASUS yönlendiricilerini kullanan 7777 (veya Quad7) adlı “gizemli” bir botnet’i ayrıntılı olarak açıklamasından haftalar sonra geldi. 5 Ağustos 2024 itibarıyla 12.783’e kadar aktif bot belirlendi.
“Bu botnet, dünyanın dört bir yanındaki birçok kuruluşun Microsoft 365 hesaplarına karşı son derece yavaş ‘kaba kuvvet’ saldırılarını iletmek için tehlikeye atılmış cihazlarda SOCKS5 proxy’leri dağıtmasıyla açık kaynakta biliniyor,” Sekoia araştırmacıları söz konusuEnfekte yönlendiricilerin çoğunun Bulgaristan, Rusya, ABD ve Ukrayna’da bulunduğunu belirterek, şunları kaydetti:
Botnet, adını tehlikeye atılmış cihazlarda 7777 numaralı TCP portunu açmasından alsa da, Team Cymru tarafından yapılan takip soruşturması, çoğunlukla ASUS yönlendiricilerinden oluşan ve 63256 numaralı açık portla karakterize edilen ikinci bir bot setini de içerecek şekilde olası bir genişlemeyi ortaya çıkardı.
“Quad7 botnet’i, potansiyeli henüz bilinmese veya ulaşılamasa bile, hem dayanıklılık hem de uyum yeteneği göstererek önemli bir tehdit oluşturmaya devam ediyor,” Team Cymru söz konusu“7777 ve 63256 botnetleri arasındaki bağlantı, belirgin bir operasyonel silo gibi görünürken, Quad7’nin arkasındaki tehdit operatörlerinin gelişen taktiklerini daha da vurguluyor.”
(Hikaye, yayımlandıktan sonra Akamai’nin yanıtını da içerecek şekilde güncellendi.)