Une faille de sécurité non corrigée impactant la caméra réseau Edimax IC-7100 est exploitée par les acteurs de la menace pour livrer des variantes de logiciels malveillants Mirat Botnet depuis au moins mai 2024.
La vulnérabilité en question est CVE-2025-1316 (Score CVSS V4: 9.3), un défaut d’injection de commande du système d’exploitation critique qu’un attaquant pourrait exploiter pour réaliser l’exécution du code distant sur des dispositifs sensibles au moyen d’une demande spécialement conçue.
La société d’infrastructure et de sécurité Web Akamai a déclaré que la première tentative d’exploitation ciblant la faille remonte à mai 2024, bien qu’un exploit de preuve de concept (POC) ait été accessible au public Depuis juin 2023.
“L’exploit cible le point de terminaison / camera-cgi/admin/param.cgi dans les appareils Edimax, et injecte des commandes dans l’option NTP_Servername dans le cadre de l’option IPCAMSOURC dit.
Bien que l’armement du point de terminaison nécessite une authentification, il a été constaté que les tentatives d’exploitation utilisent des informations d’identification par défaut (Admin: 1234) pour obtenir un accès non autorisé.
Au moins deux variantes de botnet Mirai différentes ont été identifiées comme exploitant la vulnérabilité, l’une d’entre elles incorporant également des fonctionnalités anti-débugage avant d’exécuter un script de shell qui récupère les logiciels malveillants pour différentes architectures.
L’objectif final de ces campagnes est de corriger les dispositifs infectés en un réseau capable d’orchestrer les attaques de déni de service distribué (DDOS) contre les cibles d’intérêt sur les protocoles TCP et UDP.
De plus, les botnets ont été observés exploitant CVE-2024-7214, qui affecte les dispositifs IoT Totolink, et CVE-2021-36220, et une vulnérabilité du fil Hadoop.
Dans un avis indépendant publié la semaine dernière, Edimax dit Le CVE-2025-1316 affecte les dispositifs hérités qui ne sont plus activement soutenus et qu’il n’a pas l’intention de fournir un correctif de sécurité car le modèle a été interrompu il y a plus de 10 ans.
Compte tenu de l’absence d’un correctif officiel, les utilisateurs sont invités à passer à un modèle plus récent ou à éviter d’exposer l’appareil directement sur Internet, de modifier le mot de passe d’administration par défaut et de surveiller les journaux d’accès à tous les signes d’activité inhabituelle.
“L’un des moyens les plus efficaces pour les cybercriminels de commencer à assembler un botnet est de cibler un firmware peu sécurisé et obsolète sur des appareils plus anciens”, a déclaré Akamai.
“L’héritage de Mirai continue de séduire les organisations du monde entier alors que la propagation des botnets basés sur les logiciels malveillants de Mirai ne montre aucun signe d’arrêt. Avec toutes sortes de didacticiels et de code source disponibles gratuitement (et, maintenant, avec l’aide de l’IA), la rotation d’un botnet est devenue encore plus facile.”




