Hackers εκμεταλλεύτηκαν ως zero-day ένα σοβαρό, μακροχρόνιο ελάττωμα που επηρεάζει τις κάμερες IP της AVTECH για να τις συνδέσουν σε ένα botnet.
Η CVE-2024-7029 (βαθμολογία CVSS: 8,7) είναι μια σοβαρή injection ευπάθεια που εντοπίζεται στη λειτουργία φωτεινότητας των καμερών κλειστού κυκλώματος τηλεόρασης (CCTV) της AVTECH, η οποία επιτρέπει την απομακρυσμένη εκτέλεση κώδικα (RCE). Οι ερευνητές της Akamai, Kyle Lefton, Larry Cashdollar και Aline Eliovich, προειδοποιούν για τους κινδύνους που μπορεί να προκαλέσει αυτή η ευπάθεια.
Διαβάστε περισσότερα: Ελάττωμα 18 ετών σε Firefox και Chrome αξιοποιείται σε επιθέσεις
Πληροφορίες σχετικά με το ελάττωμα ασφάλειας δημοσιοποιήθηκαν για πρώτη φορά αυτό τον μήνα από την Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA).
«Η επιτυχής εκμετάλλευση αυτής της ευπάθειας θα μπορούσε να επιτρέψει σε έναν hacker να εισάγει και να εκτελεί εντολές σαν να ήταν ο κάτοχος της εκτελούμενης διαδικασίας», ανέφερε η υπηρεσία σε ειδοποίηση που δημοσιεύτηκε στις 1 Αυγούστου 2024.
Είναι σημαντικό να σημειωθεί ότι το ζήτημα δεν έχει ακόμα επιλυθεί. Επηρεάζει τις κάμερες AVM1203 που λειτουργούν με εκδόσεις firmware έως το FullImg-1023-1007-1011-1009. Παρά το γεγονός ότι οι συγκεκριμένες συσκευές έχουν καταργηθεί, εξακολουθούν να χρησιμοποιούνται σε διάφορους τομείς, όπως εμπορικές εγκαταστάσεις, χρηματοπιστωτικές υπηρεσίες, υγειονομική περίθαλψη, δημόσια υγεία και συστήματα μεταφορών, σύμφωνα με την CISA.
Η Akamai ανακοίνωσε ότι η εκστρατεία επίθεσης είναι σε πλήρη εξέλιξη από τον Μάρτιο του 2024, αν και την ευπάθεια την είχαν ήδη εκμεταλλευτεί οι hackers από τον Φεβρουάριο του 2019. Επιπλέον, ένα αναγνωριστικό CVE εκδόθηκε μόλις αυτόν τον μήνα.
Δείτε ακόμη: Ευπάθεια στο Dell BIOS επιτρέπει την εκτέλεση αυθαίρετου κώδικα
«Κακόβουλοι παράγοντες που διαχειρίζονται αυτά τα botnets εκμεταλλεύονται νέες ή λιγότερο γνωστές ευπάθειες για να διαδώσουν κακόβουλο λογισμικό», ανέφερε η web εταιρεία υποδομής. “Υπάρχουν πολλές δημόσια εκμεταλλεύσιμες ευπάθειες ή διαθέσιμα PoC που δεν έχουν λάβει επίσημη αναγνώριση CVE, και σε πολλές περιπτώσεις, οι συσκευές παραμένουν χωρίς επιδιόρθωση.”
Οι αλυσίδες επίθεσης είναι σχετικά απλές, καθώς εκμεταλλεύονται την κάμερα IP AVTECH και άλλα γνωστά τρωτά σημεία (CVE-2014-8361 και CVE-2017-17215) για να διαδώσουν μια παραλλαγή του botnet Mirai σε επιλεγμένα συστήματα.
«Σε αυτήν την περίπτωση, το botnet φαίνεται να χρησιμοποιεί την παραλλαγή Corona Mirai, η οποία έχει αναφερθεί από άλλους προμηθευτές από το 2020 σχετικά με τον COVID-19», δήλωσαν οι ερευνητές. «Κατά τη διάρκεια της εκτέλεσής του, το κακόβουλο λογισμικό συνδέεται με μεγάλο αριθμό κεντρικών υπολογιστών μέσω Telnet στις θύρες 23, 2323 και 37215. Επιπλέον, εκτυπώνει τη συμβολοσειρά “Corona” στην κονσόλα ενός μολυσμένου υπολογιστή.»
Η ανάπτυξη αυτή έρχεται εβδομάδες μετά την περιγραφή από τις εταιρείες κυβερνοασφάλειας Sekoia και Team Cymru ενός «μυστηριώδους» botnet που ονομάζεται 7777 (ή Quad7). Αυτό το botnet έχει αξιοποιήσει παραβιασμένα TP-Link και ASUS routers για την οργάνωση password-spraying επιθέσεων σε λογαριασμούς Microsoft 365. Μέχρι τις 5 Αυγούστου 2024, έχουν εντοπιστεί 12.783 ενεργά bots.
Διαβάστε επίσης: Ελάττωμα σε συσκευές Rockwell Automation επιτρέπει μη εξουσιοδοτημένη πρόσβαση
“Αυτό το botnet είναι γνωστό ως open-source εργαλείο που αναπτύσσει servers διαμεσολάβησης SOCKS5 σε παραβιασμένες συσκευές, με σκοπό τη διεξαγωγή εξαιρετικά αργών επιθέσεων brute-force σε λογαριασμούς Microsoft 365 πολλών οντοτήτων παγκοσμίως,” ανέφεραν οι ερευνητές της Sekoia, προσθέτοντας ότι η πλειονότητα των μολυσμένων routers βρίσκεται σε χώρες όπως η Βουλγαρία, η Ρωσία, οι ΗΠΑ και η Ουκρανία.
Το botnet πήρε το όνομά του από την ικανότητά του να ανοίγει τη θύρα TCP 7777 σε παραβιασμένες συσκευές. Ωστόσο, μια έρευνα παρακολούθησης από την Team Cymru αποκάλυψε πρόσφατα μια πιθανή επέκταση που περιλαμβάνει ένα σύνολο bots, κυρίως από ASUS routers, που διακρίνονται από την ανοιχτή θύρα 63256.
Δείτε επίσης: Το νέο Zergeca botnet πραγματοποιεί DDoS επιθέσεις
«Το botnet Quad7 παραμένει μια σημαντική απειλή, παραμένοντας ανθεκτικό και ευπροσάρμοστο, ακόμα κι αν οι δυνατότητές του είναι προς το παρόν άγνωστες ή ανεκμετάλλευτες», δήλωσε η Team Cymru. Η σύνδεση ανάμεσα στα botnet 7777 και 63256, παρά το γεγονός ότι διατηρούν μια φαινομενικά ξεχωριστή λειτουργική δομή, αναδεικνύει περαιτέρω την εξελισσόμενη στρατηγική των χειριστών απειλών που βρίσκονται πίσω από το Quad7.
Πηγή: thehackernews