基于 Corona Mirai 的恶意软件僵尸网络通过 AVTECH IP 摄像机中存在 5 年之久的远程代码执行 (RCE) 零日漏洞进行传播，目前这些摄像机已停产多年，不会收到补丁。

该漏洞由 Akamai 的 Aline Eliovich 发现，编号为 CVE-2024-7029，是摄像机“亮度”功能中的一个高严重性问题，CVSS v4 评分为8.7，允许未经身份验证的攻击者使用特制的请求通过网络注入命令。

具体来说，这个易于利用的漏洞存在于 AVTECH 摄像机固件的“action=”参数中的“亮度”参数中，该参数旨在允许远程调整摄像机的亮度，影响所有运行 Fullmg-1023-1007-1011-1009 固件版本的 AVTECH AVM1203 IP 摄像机。

由于受影响的型号已于 2019 年达到使用寿命 (EoL)，因此没有补丁可以解决 CVE-2024-7029，并且预计不会发布修复程序。

美国网络安全和基础设施安全局在本月初发布了一份公告，警告 CVE-2024-7029 及其公开漏洞的可用性，并警告这些摄像头仍在商业设施、金融服务、医疗保健和公共卫生以及交通系统中使用。

该漏洞的概念验证 (PoC) 漏洞至少自 2019 年起就已存在，但本月才分配了 CVE，并且之前尚未观察到任何主动利用。

CVE-2024-7029 的 PoC 漏洞利用

Corona 是一个基于 Mirai 的变种，至少从 2020 年就已经存在，利用物联网设备中的各种漏洞进行传播。

Akamai 的 SIRT 团队报告称，从 2024 年 3 月 18 日开始，Corona 开始在野外利用 CVE-2024-7029 发动攻击，目标是仍在使用的 AVM1203 摄像机，尽管它们五年前就已经达到 EoL。

观察到的第一次活跃活动始于 2024 年 3 月 18 日，但分析显示，该变体早在 2023 年 12 月就已开始活动。CVE-2024-7029 的概念验证 (PoC) 至少从 2019 年 2 月起就已公开，但直到 2024 年 8 月才有适当的 CVE 分配。

Akamai 的蜜罐捕获的 Corona 攻击利用 CVE-2024-7029 下载并执行 JavaScript 文件，进而将主要僵尸网络负载加载到设备上。

一旦嵌入到设备上，恶意软件就会连接到其命令和控制 (C2) 服务器并等待执行分布式拒绝服务 (DDoS) 攻击的指令。

根据 Akamai 的分析，Corona 针对的其他缺陷包括：

·CVE-2017-17215：品牌路由器中存在的一个漏洞，远程攻击者可以利用 UPnP 服务中的不当验证在受影响的设备上执行任意命令。

·CVE-2014-8361：Realtek SDK 中的远程代码执行 (RCE) 漏洞，常见于消费级路由器。该漏洞可通过这些路由器上运行的 HTTP 服务被利用。

·Hadoop YARN RCE：Hadoop YARN（又一个资源协商器）资源管理系统中的漏洞，可被利用在 Hadoop 集群上执行远程代码。

建议 AVTECH AVM1203 IP 摄像机的用户立即将其下线并替换为更新的、积极支持的型号。

由于 IP 摄像头通常暴露在互联网上，因此很容易成为威胁者的目标，因此它们应始终运行最新的固件版本，以确保已知错误得到修复。如果设备停产，应将其更换为较新的型号，以继续接收安全更新。

参考及来源：

https://www.bleepingcomputer.com/news/security/malware-exploits-5-year-old-zero-day-to-infect-end-of-life-ip-cameras/