Una falla de alta gravedad de varios años de antigüedad que afecta a las cámaras IP de AVTECH ha sido utilizada por actores maliciosos como un día cero para atraerlos a una red de bots.
CVE-2024-7029 (puntuación CVSS: 8,7), la vulnerabilidad en cuestión, es una «vulnerabilidad de inyección de comandos encontrada en la función de brillo de las cámaras de circuito cerrado de televisión (CCTV) de AVTECH que permite la ejecución remota de código (RCE)», dijeron los investigadores de Akamai Kyle Lefton, Larry Cashdollar y Aline Eliovich. dicho.
Los detalles de la deficiencia de seguridad fueron hechos públicos por primera vez a principios de este mes por la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA), destacando su baja complejidad de ataque y la capacidad de explotarla de forma remota.
«La explotación exitosa de esta vulnerabilidad podría permitir a un atacante inyectar y ejecutar comandos como propietario del proceso en ejecución», dijo la agencia. anotado en una alerta publicada el 1 de agosto de 2024.
Cabe señalar que el problema sigue sin solucionarse. Afecta a los dispositivos con cámara AVM1203 que utilizan versiones de firmware hasta FullImg-1023-1007-1011-1009 inclusive. Los dispositivos, aunque ya no se fabrican, todavía se utilizan en instalaciones comerciales, servicios financieros, atención médica y salud pública y sectores de sistemas de transporte, según la CISA.
Akamai dijo que la campaña de ataque ha estado en marcha desde marzo de 2024, aunque la vulnerabilidad ha tenido un Explotación de prueba de concepto (PoC) pública desde febrero de 2019. Sin embargo, no se emitió un identificador CVE hasta este mes.
«Los actores maliciosos que operan estas botnets han estado utilizando vulnerabilidades nuevas o poco conocidas para propagar malware», dijo la empresa de infraestructura web. «Hay muchas vulnerabilidades con exploits públicos o PoC disponibles que carecen de una asignación formal de CVE y, en algunos casos, los dispositivos permanecen sin parches».
Las cadenas de ataque son bastante sencillas, ya que aprovechan la falla de la cámara IP de AVTECH, junto con otras vulnerabilidades conocidas (CVE-2014-8361 y CVE-2017-17215), para difundir una variante de la botnet Mirai en los sistemas objetivo.
«En este caso, es probable que la botnet esté utilizando la variante Corona Mirai, a la que se ha hecho referencia en Otros vendedores «Ya en 2020, en relación con el virus COVID-19», dijeron los investigadores. «Al ejecutarse, el malware se conecta a una gran cantidad de hosts a través de Telnet en los puertos 23, 2323 y 37215. También imprime la cadena ‘Corona’ en la consola de un host infectado».
El desarrollo se produce semanas después de que las empresas de ciberseguridad Sekoia y Team Cymru detallaran una botnet «misteriosa» llamada 7777 (o Quad7) que ha aprovechado los enrutadores TP-Link y ASUS comprometidos para realizar ataques de rociado de contraseñas contra cuentas de Microsoft 365. Se han identificado hasta 12.783 bots activos hasta el 5 de agosto de 2024.
«Esta botnet es conocida en código abierto por implementar servidores proxy SOCKS5 en dispositivos comprometidos para retransmitir ataques de ‘fuerza bruta’ extremadamente lentos contra cuentas de Microsoft 365 de muchas entidades en todo el mundo», dijeron los investigadores de Sekoia. dichoseñalando que la mayoría de los enrutadores infectados se encuentran en Bulgaria, Rusia, EE. UU. y Ucrania.
Si bien la botnet recibe su nombre del hecho de que abre el puerto TCP 7777 en los dispositivos comprometidos, una investigación de seguimiento del Equipo Cymru ha revelado desde entonces una posible expansión para incluir un segundo conjunto de bots que se componen principalmente de enrutadores ASUS y se caracterizan por el puerto abierto 63256.
«La botnet Quad7 sigue representando una amenaza importante, demostrando tanto resiliencia como adaptabilidad, incluso si su potencial es actualmente desconocido o inalcanzable», dijo Team Cymru dicho«El vínculo entre las redes de bots 7777 y 63256, si bien mantiene lo que parece ser un silo operativo distinto, subraya aún más las tácticas en evolución de los operadores de amenazas detrás de Quad7».