sicurezza informatica

Attenzione: Hacker sfruttano vulnerabilità critica in telecamere di sicurezza per diffondere malware Mirai

By UpGRD.it , 29/08/2024

Hacker sfruttano vulnerabilità nelle telecamere di sicurezza

Malintenzionati informatici stanno approfittando di una vulnerabilità critica in un modello di telecamera di sicurezza ampiamente utilizzato per diffondere il malware Mirai. Questo tipo di malware è noto per trasformare i dispositivi Internet of Things (IoT) infetti in grandi reti utilizzate per attacchi che possono compromettere siti web e altri dispositivi connessi a Internet.

Dettagli sulla vulnerabilità

Le attacchi si concentrano sul modello AVM1203, prodotto dalla taiwanese AVTECH, come riportato dal fornitore di sicurezza informatica Akamai. Gli aggressori, ancora sconosciuti, hanno sfruttato una vulnerabilità di cinque anni a partire da marzo. Questa vulnerabilità zero-day, identificata come CVE-2024-7029, è facilmente sfruttabile e consente l'esecuzione di codice malevolo. Poiché l'AVM1203 non è più in vendita né supportato, non esistono aggiornamenti disponibili per risolvere questa vulnerabilità critica.

Attività degli attaccanti

Kyle Lefton, ricercatore di sicurezza del team di Security Intelligence and Response di Akamai, ha dichiarato che sono stati osservati attacchi DDoS contro “varie organizzazioni”, senza fornire ulteriori dettagli. Finora, non ci sono prove che gli attaccanti stiano monitorando i feed video o utilizzando le telecamere infette per altri scopi.

Akamai ha rilevato questa attività attraverso un honeypot, un sistema di dispositivi che simula le telecamere su Internet per monitorare eventuali attacchi. Tuttavia, questa tecnica non consente di misurare la grandezza del botnet. La Cybersecurity and Infrastructure Security Agency degli Stati Uniti ha emesso un avviso riguardo a questa vulnerabilità all'inizio di questo mese.

Dettagli tecnici della vulnerabilità

Grazie a questa tecnica, Akamai è riuscita a catturare il codice utilizzato per compromettere i dispositivi. La vulnerabilità è nota almeno dal 2019, quando il codice di sfruttamento è stato reso pubblico. La zero-day risiede nel “brightness argument” del parametro ‘action=’, consentendo l'iniezione di comandi, come riportato dai ricercatori. La vulnerabilità, scoperta dalla ricercatrice Aline Eliovich di Akamai, è stata formalmente riconosciuta solo questo mese con la pubblicazione di CVE-2024-7029.

Come funziona?

Questa vulnerabilità è stata inizialmente scoperta esaminando i log del honeypot. La vulnerabilità si trova nella funzione di luminosità all'interno del file /cgi-bin/supervisor/Factory.cgi. Negli esempi di sfruttamento osservati, l'attaccante è in grado di eseguire codice remoto su un sistema bersaglio. Il malware scarica e avvia un file JavaScript per caricare il payload principale. Questo botnet sta diffondendo una variante del malware Mirai, probabilmente la variante Corona Mirai, già menzionata da altri fornitori nel 2020 in relazione al virus COVID-19.

Una volta eseguito, il malware si connette a un gran numero di host tramite Telnet sulle porte 23, 2323 e 37215, stampando la stringa “Corona” sulla console di un host infetto. L'analisi statica delle stringhe nei campioni di malware mostra un targeting del percorso /ctrlt/DeviceUpgrade_1 per sfruttare i dispositivi Huawei affetti da CVE-2017-17215. I campioni contengono due indirizzi IP hard-coded per il comando e controllo, uno dei quali fa parte del codice di sfruttamento di CVE-2017-17215. Il botnet ha anche preso di mira altre vulnerabilità, tra cui un Hadoop YARN RCE, CVE-2014-8361 e CVE-2017-17215, che sono state sfruttate con successo in diverse occasioni.

FAQ

Qual è la vulnerabilità critica menzionata nell'articolo?

La vulnerabilità critica menzionata è identificata come CVE-2024-7029 e riguarda il modello di telecamera di sicurezza AVM1203 prodotto da AVTECH.

Che tipo di malware viene diffuso attraverso questa vulnerabilità?

Il malware diffuso attraverso questa vulnerabilità è il Mirai, noto per trasformare i dispositivi IoT infetti in reti botnet per attacchi informatici.

Chi ha scoperto la vulnerabilità e quando è stata formalmente riconosciuta?

La vulnerabilità è stata scoperta dalla ricercatrice Aline Eliovich di Akamai e formalmente riconosciuta solo questo mese con la pubblicazione di CVE-2024-7029.

Quali sono le conseguenze degli attacchi DDoS osservati?

Gli attacchi DDoS hanno colpito varie organizzazioni, compromettendo la loro capacità di operare online, ma non ci sono prove che le telecamere infette siano state utilizzate per monitorare i feed video.

Come funziona la vulnerabilità CVE-2024-7029?

La vulnerabilità consente l'iniezione di comandi attraverso il parametro 'brightness argument' nella funzione di luminosità, permettendo agli attaccanti di eseguire codice malevolo su dispositivi bersaglio.

Perché non ci sono aggiornamenti disponibili per risolvere questa vulnerabilità?

L'AVM1203 non è più in vendita né supportato, il che significa che non sono disponibili aggiornamenti per risolvere la vulnerabilità critica.

Qual è il ruolo del honeypot nella scoperta della vulnerabilità?

Il honeypot è un sistema di dispositivi che simula telecamere su Internet per monitorare eventuali attacchi, permettendo ad Akamai di rilevare e analizzare il codice utilizzato per compromettere i dispositivi.

Quali porte utilizza il malware per connettersi agli host infetti?

Il malware si connette a un gran numero di host tramite Telnet sulle porte 23, 2323 e 37215.

Che tipo di dispositivi sono stati presi di mira dal botnet?

Il botnet ha preso di mira dispositivi Huawei affetti da CVE-2017-17215 e ha sfruttato altre vulnerabilità come Hadoop YARN RCE e CVE-2014-8361.

Cosa ha fatto la Cybersecurity and Infrastructure Security Agency riguardo a questa vulnerabilità?

La Cybersecurity and Infrastructure Security Agency degli Stati Uniti ha emesso un avviso riguardo a questa vulnerabilità all'inizio di questo mese.