Uma falha antiga de alta gravidade que afeta as câmeras IP da AVTECH foi armada por atores maliciosos como um zero-day para recrutá-las em um botnet.
A vulnerabilidade em questão,
CVE-2024-7029
(pontuação CVSS: 8.7), é uma "vulnerabilidade de injeção de comando encontrada na função de brilho das câmeras de circuito fechado de televisão (CCTV) da AVTECH que permite a execução remota de código (RCE)", disseram os pesquisadores da Akamai Kyle Lefton, Larry Cashdollar e Aline Eliovich.
Detalhes da falha de segurança foram tornados públicos no início deste mês pela Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA), destacando sua baixa complexidade de ataque e a capacidade de explorá-la remotamente.
"A exploração bem-sucedida desta vulnerabilidade poderia permitir que um invasor injetasse e executasse comandos como o proprietário do processo em execução", observou a agência em um alerta publicado em 1º de agosto de 2024.
Vale ressaltar que o problema permanece sem correção.
Ele afeta os dispositivos da câmera AVM1203 usando versões de firmware até e incluindo FullImg-1023-1007-1011-1009.
Os dispositivos, embora descontinuados, ainda são usados em instalações comerciais, serviços financeiros, saúde e saúde pública, setores de sistemas de transporte, conforme a CISA.
A Akamai afirmou que a campanha de ataque está em andamento desde março de 2024, embora a vulnerabilidade tenha tido uma prova de conceito pública (PoC) desde fevereiro de 2019.
No entanto, um identificador CVE só foi emitido neste mês.
"Atores maliciosos que operam esses botnets têm usado novas ou vulnerabilidades subestimadas para proliferar malware", disse a empresa de infraestrutura web.
Existem muitas vulnerabilidades com exploits públicos ou PoCs disponíveis que carecem de atribuição formal de CVE e, em alguns casos, os dispositivos permanecem sem correção.
As cadeias de ataque são bastante diretas, pois aproveitam a câmera IP da AVTECH, juntamente com outras vulnerabilidades conhecidas (
CVE-2014-8361
e
CVE-2017-17215
), para espalhar uma variante do Mirai botnet nos sistemas-alvo.
"Neste caso, o botnet provavelmente está usando a variante Corona Mirai, que foi referenciada por outros fornecedores já em 2020 em relação ao vírus COVID-19", disseram os pesquisadores.
"Após a execução, o malware se conecta a um grande número de hosts via Telnet nas portas 23, 2323 e 37215.
Ele também imprime a string 'Corona' no console em um host infectado." O desenvolvimento vem semanas depois das empresas de cibersegurança Sekoia e Team Cymru detalharem um botnet "misterioso" chamado 7777 (ou Quad7) que aproveitou roteadores TP-Link e ASUS comprometidos para realizar ataques de pulverização de senhas contra contas do Microsoft 365.
Até o momento, 12.783 bots ativos foram identificados.
"Esse botnet é conhecido na fonte aberta por implantar proxies SOCKS5 em dispositivos comprometidos para relatar ataques de 'força bruta' extremamente lentos contra contas do Microsoft 365 de várias entidades ao redor do mundo", disseram os pesquisadores da Sekoia, observando que a maioria dos roteadores infectados está localizada na Bulgária, Rússia, EUA e Ucrânia.
Enquanto o botnet recebe seu nome pelo fato de abrir a porta TCP 7777 em dispositivos comprometidos, uma investigação subsequente da Team Cymru revelou desde então uma possível expansão para incluir um segundo conjunto de bots compostos principalmente por roteadores ASUS e caracterizados pela porta aberta 63256.
"O botnet Quad7 continua a representar uma ameaça significativa, demonstrando tanto a resiliência quanto a adaptabilidade, mesmo que seu potencial atualmente seja desconhecido ou não alcançado", disse a Team Cymru.
A ligação entre os botnets 7777 e 63256, mantendo o que parece ser um silo operacional distinto, destaca ainda mais as táticas evolutivas dos operadores de ameaças por trás do Quad7.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...