基于 Corona Mirai 的恶意软件僵尸网络通过 AVTECH IP 摄像机中存在 5 年之久的远程代码执行 (RCE) 零日漏洞进行传播,目前这些摄像机已停产多年,不会收到补丁。
该漏洞由 Akamai 的 Aline Eliovich 发现,编号为 CVE-2024-7029,是摄像机“亮度”功能中的一个高严重性问题,CVSS v4 评分为8.7,允许未经身份验证的攻击者使用特制的请求通过网络注入命令。
具体来说,这个易于利用的漏洞存在于 AVTECH 摄像机固件的“action=”参数中的“亮度”参数中,该参数旨在允许远程调整摄像机的亮度,影响所有运行 Fullmg-1023-1007-1011-1009 固件版本的 AVTECH AVM1203 IP 摄像机。
由于受影响的型号已于 2019 年达到使用寿命 (EoL),因此没有补丁可以解决 CVE-2024-7029,并且预计不会发布修复程序。
美国网络安全和基础设施安全局在本月初发布了一份公告,警告 CVE-2024-7029 及其公开漏洞的可用性,并警告这些摄像头仍在商业设施、金融服务、医疗保健和公共卫生以及交通系统中使用。
该漏洞的概念验证 (PoC) 漏洞至少自 2019 年起就已存在,但本月才分配了 CVE,并且之前尚未观察到任何主动利用。
CVE-2024-7029 的 PoC 漏洞利用
Corona 是一个基于 Mirai 的变种,至少从 2020 年就已经存在,利用物联网设备中的各种漏洞进行传播。
Akamai 的 SIRT 团队报告称,从 2024 年 3 月 18 日开始,Corona 开始在野外利用 CVE-2024-7029 发动攻击,目标是仍在使用的 AVM1203 摄像机,尽管它们五年前就已经达到 EoL。
观察到的第一次活跃活动始于 2024 年 3 月 18 日,但分析显示,该变体早在 2023 年 12 月就已开始活动。CVE-2024-7029 的概念验证 (PoC) 至少从 2019 年 2 月起就已公开,但直到 2024 年 8 月才有适当的 CVE 分配。
Akamai 的蜜罐捕获的 Corona 攻击利用 CVE-2024-7029 下载并执行 JavaScript 文件,进而将主要僵尸网络负载加载到设备上。
一旦嵌入到设备上,恶意软件就会连接到其命令和控制 (C2) 服务器并等待执行分布式拒绝服务 (DDoS) 攻击的指令。
根据 Akamai 的分析,Corona 针对的其他缺陷包括:
·CVE-2017-17215:品牌路由器中存在的一个漏洞,远程攻击者可以利用 UPnP 服务中的不当验证在受影响的设备上执行任意命令。
·CVE-2014-8361:Realtek SDK 中的远程代码执行 (RCE) 漏洞,常见于消费级路由器。该漏洞可通过这些路由器上运行的 HTTP 服务被利用。
·Hadoop YARN RCE:Hadoop YARN(又一个资源协商器)资源管理系统中的漏洞,可被利用在 Hadoop 集群上执行远程代码。
建议 AVTECH AVM1203 IP 摄像机的用户立即将其下线并替换为更新的、积极支持的型号。
由于 IP 摄像头通常暴露在互联网上,因此很容易成为威胁者的目标,因此它们应始终运行最新的固件版本,以确保已知错误得到修复。如果设备停产,应将其更换为较新的型号,以继续接收安全更新。
参考及来源:
https://www.bleepingcomputer.com/news/security/malware-exploits-5-year-old-zero-day-to-infect-end-of-life-ip-cameras/