Uma botnet de malware está explorando uma vulnerabilidade zero-day em dispositivos GeoVision end-of-life (fim de vida) para comprometer e recrutá-los para prováveis ataques de DDoS ou de criptomineração.
A falha é rastreada como
CVE-2024-11120
e foi descoberta por Piort Kijewski da The Shadowserver Foundation.
É um problema crítico de injeção de comando OS (CVSS v3.1 score: 9.8), permitindo que atacantes não autenticados executem comandos do sistema arbitrários no dispositivo.
"Atacantes remotos não autenticados podem explorar essa vulnerabilidade para injetar e executar comandos do sistema arbitrários no dispositivo," alerta o CERT de Taiwan.
Além disso, essa vulnerabilidade já foi explorada por atacantes, e recebemos relatórios relacionados.
De acordo com o TWCERT, a vulnerabilidade impacta os seguintes modelos de dispositivos:
- GV-VS12: Um servidor de vídeo de 2 canais H.264 que converte sinais de vídeo analógicos em streams digitais para transmissão em rede.
- GV-VS11: Um servidor de vídeo de canal único projetado para digitalizar vídeo analógico para streaming em rede.
- GV-DSP LPR V3: Um sistema baseado em Linux dedicado ao reconhecimento de placas de licença (LPR).
- GV-LX4C V2 / GV-LX4C V3: Gravadores de vídeo digital (DVR) compactos projetados para aplicações de vigilância móvel.
Todos esses modelos chegaram ao fim de vida e não são mais suportados pelo fornecedor, portanto, não são esperadas atualizações de segurança.
A plataforma de monitoramento de ameaças The Shadowserver Foundation relata que aproximadamente 17.000 dispositivos GeoVision estão expostos online e vulneráveis à falha
CVE-2024-11120
.
Kijewski disse que a botnet parece ser uma variante do Mirai, que geralmente é usada como parte de plataformas de DDoS ou para realizar criptomineração.
A maioria dos dispositivos expostos (9.100) está localizada nos Estados Unidos, seguida pela Alemanha (1.600), Canadá (800), Taiwan (800), Japão (350), Espanha (300) e França (250).
Em geral, sinais de comprometimento de botnet incluem dispositivos aquecendo excessivamente, tornando-se lentos ou não responsivos, e tendo sua configuração alterada arbitrariamente.
Se você notar algum desses sintomas, faça um reset no dispositivo, mude a senha padrão do admin para algo forte, desative os painéis de acesso remoto e coloque o dispositivo atrás de um firewall.
Idealmente, esses dispositivos deveriam ser substituídos por modelos ativamente suportados, mas se isso é impossível, eles devem ser isolados em uma LAN dedicada ou subnet e monitorados de perto.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...