Los actores de amenazas están explotando una falla de seguridad sin parpadear con la cámara de red EDIMAX IC-7100 para entregar variantes de malware Mirat Botnet desde al menos mayo de 2024.
La vulnerabilidad en cuestión es CVE-2025-1316 (Puntuación CVSS V4: 9.3), un defecto de inyección de comando de sistema operativo crítico que un atacante podría explotar para lograr la ejecución de código remoto en dispositivos susceptibles mediante una solicitud especialmente diseñada.
La compañía de infraestructura y seguridad web Akamai dijo que el primer intento de exploit dirigido a la fallas se remonta a mayo de 2024, aunque se ha sido una exploit de prueba de concepto (POC) disponible públicamente desde junio de 2023.
“El Exploit se dirige a /Camera-CGI/admin/param.cgi en el punto final en dispositivos edimax e inyecta comandos en la opción NTP_SERVERNAME como parte de la opción IPCAMSource de Param.cgi,” Akamai Investigadores Kyle Lefton y Larry CashDollarDollarDollarDollardollar dicho.
Si bien el armamento del punto final requiere autenticación, se ha encontrado que los intentos de explotación están utilizando credenciales predeterminadas (Admin: 1234) para obtener acceso no autorizado.
Se han identificado al menos dos variantes diferentes de Botnet de Mirai como explotando la vulnerabilidad, y una de ellas también incorpora la funcionalidad anti-debugging antes de ejecutar un script de shell que recupere el malware para diferentes arquitecturas.
El objetivo final de estas campañas es acorralar los dispositivos infectados en una red capaz de orquestar ataques distribuidos de denegación de servicio (DDoS) contra objetivos de interés sobre los protocolos TCP y UDP.
Además, se han observado los botnets explotando CVE-2024-7214, que afecta a los dispositivos Totolink IoT, y CVE-2021-36220, y una vulnerabilidad de hilo Hadoop.
En un aviso independiente publicado la semana pasada, edimax dicho El CVE-2025-1316 afecta los dispositivos heredados que ya no son compatibles activamente y que no tiene planes de proporcionar un parche de seguridad ya que el modelo se suspendió hace más de 10 años.
Dada la ausencia de un parche oficial, se aconseja a los usuarios que actualicen a un modelo más nuevo, o eviten exponer el dispositivo directamente a través de Internet, cambie la contraseña de administrador predeterminada y controlen los registros de acceso para cualquier signo de actividad inusual.
“Una de las formas más efectivas para que los ciberdelincuentes comiencen a ensamblar un botón es apuntar a un firmware mal asegurado y anticuado en dispositivos más antiguos”, dijo Akamai.
“El legado de Mirai continúa afectando a las organizaciones de todo el mundo como la propagación de Botnets basados en malware de Mirai no muestra signos de detención. Con todo tipo de tutoriales y código fuente disponibles libremente (y ahora, con asistencia de IA) girar un botón se ha vuelto aún más fácil”.
About the Author
