Une faille de haute gravité vieille de plusieurs années affectant les caméras IP d’AVTECH a été exploitée par des acteurs malveillants comme une faille zero-day pour les intégrer dans un botnet.
CVE-2024-7029 (score CVSS : 8,7), la vulnérabilité en question, est une « vulnérabilité d’injection de commande trouvée dans la fonction de luminosité des caméras de télévision en circuit fermé (CCTV) AVTECH qui permet l’exécution de code à distance (RCE) », selon les chercheurs d’Akamai Kyle Lefton, Larry Cashdollar et Aline Eliovich dit.
Les détails de cette faille de sécurité ont été rendus publics pour la première fois au début du mois par l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA), soulignant sa faible complexité d’attaque et la capacité de l’exploiter à distance.
« L’exploitation réussie de cette vulnérabilité pourrait permettre à un attaquant d’injecter et d’exécuter des commandes en tant que propriétaire du processus en cours d’exécution », a déclaré l’agence. noté dans une alerte publiée le 1er août 2024.
Il convient de noter que le problème n’a pas été corrigé. Il affecte les appareils photo AVM1203 utilisant des versions de firmware allant jusqu’à FullImg-1023-1007-1011-1009. Les appareils, bien que abandonnés, sont toujours utilisés dans les installations commerciales, les services financiers, les soins de santé et la santé publique, les secteurs des systèmes de transport, conformément à la CISA.
Akamai a déclaré que la campagne d’attaque était en cours depuis mars 2024, bien que la vulnérabilité ait eu un impact négatif. exploit de preuve de concept publique (PoC) dès février 2019. Cependant, un identifiant CVE n’a été émis que ce mois-ci.
« Les acteurs malveillants qui exploitent ces botnets ont exploité des vulnérabilités nouvelles ou peu connues pour propager des programmes malveillants », a déclaré la société d’infrastructure Web. « Il existe de nombreuses vulnérabilités avec des exploits publics ou des preuves de concept disponibles qui n’ont pas d’attribution CVE formelle et, dans certains cas, les appareils ne sont pas corrigés. »
Les chaînes d’attaque sont assez simples dans la mesure où elles exploitent la faille de la caméra IP AVTECH, ainsi que d’autres vulnérabilités connues (CVE-2014-8361 et CVE-2017-17215), pour diffuser une variante du botnet Mirai sur les systèmes cibles.
« Dans ce cas, le botnet utilise probablement la variante Corona Mirai, qui a été référencée par autres fournisseurs « Dès 2020, le malware a été détecté en lien avec le virus COVID-19 », ont indiqué les chercheurs. « Une fois exécuté, le malware se connecte à un grand nombre d’hôtes via Telnet sur les ports 23, 2323 et 37215. Il imprime également la chaîne « Corona » sur la console d’un hôte infecté. »
Cette découverte intervient quelques semaines après que les sociétés de cybersécurité Sekoia et Team Cymru ont détaillé un botnet « mystérieux » nommé 7777 (ou Quad7) qui a exploité des routeurs TP-Link et ASUS compromis pour lancer des attaques de pulvérisation de mots de passe contre des comptes Microsoft 365. Pas moins de 12 783 bots actifs ont été identifiés au 5 août 2024.
« Ce botnet est connu en open source pour déployer des proxys SOCKS5 sur des appareils compromis afin de relayer des attaques de « force brute » extrêmement lentes contre les comptes Microsoft 365 de nombreuses entités à travers le monde », ont déclaré les chercheurs de Sekoia. ditnotant qu’une majorité des routeurs infectés sont situés en Bulgarie, en Russie, aux États-Unis et en Ukraine.
Bien que le botnet tire son nom du fait qu’il ouvre le port TCP 7777 sur les appareils compromis, une enquête de suivi de Team Cymru a depuis révélé une extension possible pour inclure un deuxième ensemble de bots composés principalement de routeurs ASUS et caractérisés par le port ouvert 63256.
« Le botnet Quad7 continue de représenter une menace importante, démontrant à la fois résilience et adaptabilité, même si son potentiel est actuellement inconnu ou non exploité », a déclaré l’équipe Cymru. dit« Le lien entre les botnets 7777 et 63256, tout en maintenant ce qui semble être un silo opérationnel distinct, souligne davantage l’évolution des tactiques des opérateurs de menaces derrière Quad7. »