基于 Corona Mirai 的惡意軟件僵屍網絡通過 AVTECH IP 攝像機中存在 5 年之久的遠程代碼執行 ( RCE ) 零日漏洞進行傳播,目前這些攝像機已停産多年,不會收到補丁。
該漏洞由 Akamai 的 Aline Eliovich 發現,編号爲 CVE-2024-7029,是攝像機 " 亮度 " 功能中的一個高嚴重性問題,CVSS v4 評分爲 8.7,允許未經身份驗證的攻擊者使用特制的請求通過網絡注入命令。
具體來說,這個易于利用的漏洞存在于 AVTECH 攝像機固件的 "action=" 參數中的 " 亮度 " 參數中,該參數旨在允許遠程調整攝像機的亮度,影響所有運行 Fullmg-1023-1007-1011-1009 固件版本的 AVTECH AVM1203 IP 攝像機。
由于受影響的型号已于 2019 年達到使用壽命 ( EoL ) ,因此沒有補丁可以解決 CVE-2024-7029,并且預計不會發布修複程序。
美國網絡安全和基礎設施安全局在本月初發布了一份公告,警告 CVE-2024-7029 及其公開漏洞的可用性,并警告這些攝像頭仍在商業設施、金融服務、醫療保健和公共衛生以及交通系統中使用。
該漏洞的概念驗證 ( PoC ) 漏洞至少自 2019 年起就已存在,但本月才分配了 CVE,并且之前尚未觀察到任何主動利用。
CVE-2024-7029 的 PoC 漏洞利用
正在進行開發
Corona 是一個基于 Mirai 的變種,至少從 2020 年就已經存在,利用物聯網設備中的各種漏洞進行傳播。
Akamai 的 SIRT 團隊報告稱,從 2024 年 3 月 18 日開始,Corona 開始在野外利用 CVE-2024-7029 發動攻擊,目标是仍在使用的 AVM1203 攝像機,盡管它們五年前就已經達到 EoL。
觀察到的第一次活躍活動始于 2024 年 3 月 18 日,但分析顯示,該變體早在 2023 年 12 月就已開始活動。CVE-2024-7029 的概念驗證 ( PoC ) 至少從 2019 年 2 月起就已公開,但直到 2024 年 8 月才有适當的 CVE 分配。
Akamai 的蜜罐捕獲的 Corona 攻擊利用 CVE-2024-7029 下載并執行 JavaScript 文件,進而将主要僵屍網絡負載加載到設備上。
一旦嵌入到設備上,惡意軟件就會連接到其命令和控制 ( C2 ) 服務器并等待執行分布式拒絕服務 ( DDoS ) 攻擊的指令。
根據 Akamai 的分析,Corona 針對的其他缺陷包括:
·CVE-2017-17215:品牌路由器中存在的一個漏洞,遠程攻擊者可以利用 UPnP 服務中的不當驗證在受影響的設備上執行任意命令。
·CVE-2014-8361:Realtek SDK 中的遠程代碼執行 ( RCE ) 漏洞,常見于消費級路由器。該漏洞可通過這些路由器上運行的 HTTP 服務被利用。
·Hadoop YARN RCE:Hadoop YARN(又一個資源協商器)資源管理系統中的漏洞,可被利用在 Hadoop 集群上執行遠程代碼。
建議 AVTECH AVM1203 IP 攝像機的用戶立即将其下線并替換爲更新的、積極支持的型号。
由于 IP 攝像頭通常暴露在互聯網上,因此很容易成爲威脅者的目标,因此它們應始終運行最新的固件版本,以确保已知錯誤得到修複。如果設備停産,應将其更換爲較新的型号,以繼續接收安全更新。
