0Day в Edimax: IoT-устройства завербованы в киберармию VagneRHere

Специалисты Akamai SIRT выявили уязвимость в продуктах Edimax, которая эксплуатируется для вовлечения в ботнет IoT-устройств. Первые признаки эксплуатации CVE-2025-1316 (CVSS: 9.3) были [АГ1] обнаружены в октябре 2024 года, однако найденный PoC свидетельствует о существовании Zero-Day с июня 2023 года.

В ходе расследования зафиксирована активность нескольких ботнетов, использующих данную уязвимость. Среди них — различные модификации Mirai, а также вредоносные программы, эксплуатирующие помимо CVE-2025-1316 и другие известные уязвимости, включая эксплойт API Docker . В результате атаки устройства становятся частью ботнетов, что создаёт угрозу для их владельцев и может использоваться для атак на инфраструктуру компаний.

Злоумышленники эксплуатируют уязвимость через URI-адрес /camera-cgi/admin/param.cgi. Команды передаются через параметр NTP_serverName, в который внедряется вредоносный код. Для авторизации атакующие используют стандартные учётные данные admin:1234, характерные для устройств Edimax. Проблема затрагивает не только модель IC-7100, упомянутую в отчёте CVE, но и другие устройства производителя.

Атаки фиксировались с мая 2024 года с последующими всплесками активности в сентябре 2024 года, январе и феврале 2025 года. На основе перехваченных запросов SIRT расшифровала полезную нагрузку, которая включает загрузку и выполнение скрипта curl.sh. Скрипт скачивает исполняемые файлы для разных архитектур, включая x86 и ARM. После установки вредонос печатает на консоли строку VagneRHere, сигнализируя о запуске.

Ботнет использует сервер управления angela.spklove[.]com, зарегистрированный в декабре 2024 года. Кроме того, был обнаружен канал в Discord, предположительно связанный с киберпреступниками. Второй ботнет, эксплуатирующий ту же уязвимость, работает аналогично, но его вредоносные файлы имеют префикс «.S». Ботнет также применяет механизмы для обхода антивирусов и активирует антиотладку.

Кроме атак на устройства Edimax, злоумышленники задействуют уязвимости в API Docker, а также эксплуатируют CVE-2024-7214 , CVE-2021-36220 и уязвимость в Hadoop YARN . Хакеры используют различные техники атак, включая UDP-флуд, TCP SYN-атаки и эксплойты OpenVPN.

Распространение ботнетов на базе Mirai остаётся серьёзной проблемой. Вредоносный код легко адаптируется, а инструкции по созданию ботнетов доступны в открытом доступе. Основной вектор атаки остаётся неизменным — компрометация устаревших IoT-устройств, для которых отсутствуют обновления безопасности. Edimax уже заявила, что не планирует выпускать исправления для данной модели камер, что оставляет пользователей перед необходимостью замены оборудования.

Для защиты от угрозы рекомендуется отключить или сменить уязвимые устройства, изменить стандартные пароли, ограничить доступ к сетевым интерфейсам и применять средства мониторинга сетевого трафика.