该漏洞的CVSS评分为8.7。CISA在本月早些时候率先公布该漏洞的详情，强调了其攻击的低复杂度和可遭远程利用。CISA在2024年8月1日的告警中提到，“成功利用该漏洞可导致攻击者以运行流程所有人的身份注入并执行命令。”

值得注意的是，该漏洞尚未得到修复。它影响使用FullImg-1023-1011-1009及以下版本固件的 AVM1203 摄像头。这些设备尽管已不再受支持，但仍然用于商业设施、金融服务、医疗和公共医疗、运输系统行业等。

Akamai 公司表示该攻击活动自2024年3月起就一直在进行，但实际上早在2019年2月该漏洞的PoC 利用就已公开。不过直到本月其CVE编号才发布。

Akamai 公司提到，“运营这些僵尸网络的恶意人员一直利用新的或未发现的漏洞扩散恶意软件。拥有公开利用或可用 PoC的很多漏洞都缺少正式的CVE编号，在一些情况下，这些设备仍然未修复。”

这些攻击链十分直接，它们利用 AVTECH IP 摄像头漏洞和其它已知漏洞（CVE-2014-8361和CVE-2017-17215）在目标系统上传播 Mirai 僵尸网络变体。研究人员表示，“在本案例中，该僵尸网络可能使用 Corona Mirai 变体，而其它厂商早在2020年就在提到与新冠疫情相关病毒时就提到过。执行时，该恶意软件通过23、2323和37215端口上的 Telnet 连接到大量主机上。它还将字符串 ‘Corona’ 打印在一台受感染主机上的控制面板。”

几周前，网络安全公司 Sekoia 和 Cymru 团队详细说明了一个“神秘的”僵尸网络7777（或称为 Quad7），它利用受陷的 TP-Link 和华硕路由器，对Microsoft 365账户发动密码喷射攻击。截止到2024年8月5日，已识别到12783个活跃僵尸。

Sekoia 公司的研究人员提到，“该僵尸网络在受陷设备上部署 SOCKS5代理，在全球对很多实体的Microsoft 365账户发动极其缓慢的‘暴力’攻击。”他们提到，多数受感染路由器位于保加利亚、俄罗斯、美国和乌克兰。

虽然该僵尸网络因在受陷设备上打开TCP端口7777而得名，不过Cymru 团队后续调查发现，它可能已扩展，纳入了主要由华硕路由器组成的以开放端口63256为特征的第二批僵尸。

Cymru 团队指出，“QUAD7僵尸网络仍然能带来重大威胁，同时具有弹性和适应性，即使它的潜力当前是未知的或未触及的。7777和63256僵尸网络之间的连接在维持独特运营仓库的同时，进一步强调了Quad7背后威胁操纵者不断演进的技术。”

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~