Se ha observado que los actores de amenazas explotan activamente fallas de seguridad en los dispositivos de Internet de las cosas (EOL) de Geovisión (IoT) para acorralarlos en una botnet Mirai para realizar ataques distribuidos de negación de servicio (DDoS).
La actividad, observada por primera vez por el Equipo de Inteligencia y Respuesta de Seguridad de Akamai (SIRT) a principios de abril de 2025, implica la explotación de dos fallas de inyección de comandos del sistema operativo (CVE-2024-6047 y CVE-2024-11120Puntajes CVSS: 9.8) que podrían usarse para ejecutar comandos de sistema arbitrarios.
“El exploit se dirige al punto final /datesetting.cgi en dispositivos IoT de Geovisión e inyecta comandos en el parámetro Szsrvipaddr”, el investigador de Akamai Kyle Lefton dicho En un informe compartido con The Hacker News.
En los ataques detectados por la compañía de seguridad e infraestructura web, se ha encontrado que Botnet inyectaba comandos para descargar y ejecutar una versión de brazo del malware de Mirai llamado LZRD.
Algunas de las vulnerabilidades explotadas por la botnet incluyen una vulnerabilidad de hilo Hadoop, CVE-2018-10561 y un digiever que afectó el error que se destacó en diciembre de 2024.
Hay alguna evidencia que sugiere que la campaña se superpone con la actividad previamente registrada bajo el nombre infectado.
“Una de las formas más efectivas para que los ciberdelincuentes comiencen a ensamblar un botón es apuntar a un firmware mal asegurado y anticuado en dispositivos más antiguos”, dijo Lefton.
“Hay muchos fabricantes de hardware que no emiten parches para dispositivos retirados (en algunos casos, el fabricante en sí puede estar desaparecido)”.
Dado que es poco probable que los dispositivos de geovisión afectados reciban nuevos parches, se recomienda que los usuarios se actualicen a un modelo más nuevo para salvaguardar contra posibles amenazas.
Samsung MagicInfo Flaw explotado en ataques de Mirai
La divulgación viene como Lobo ártico y el Instituto de Tecnología Sans advertido de explotación activa de CVE-2024-7399 (Puntuación CVSS: 8.8), una falla de transversal de ruta en el servidor Samsung MagicInfo 9 que podría permitir a un atacante escribir archivos arbitrarios como autoridad del sistema, para entregar la botnet Mirai.
Mientras que el problema fue dirigido por Samsung en agosto de 2024, desde entonces ha sido armado por atacantes después del liberar de una prueba de concepto (POC) el 30 de abril de 2025, para recuperar y ejecutar un script de shell responsable de descargar la botnet.
“La vulnerabilidad permite la redacción arbitraria de archivos por parte de usuarios no autenticados, y en última instancia puede conducir a la ejecución de código remoto cuando la vulnerabilidad se usa para escribir archivos de Javaserver Pages (JSP) especialmente elaborados”, dijo Arctic Wolf.
Se recomienda a los usuarios que actualicen sus instancias a la versión 21.1050 y luego para mitigar el impacto operativo potencial.
About the Author
