Falha crítica em câmeras Edimax explorada por botnets
18 de Março de 2025

Uma falha de segurança não-corrigida que impacta a câmera de rede Edimax IC-7100 está sendo explorada por agentes de ameaças para entregar variantes do malware Mirat botnet desde pelo menos maio de 2024.

A vulnerabilidade em questão é a CVE-2025-1316 (pontuação CVSS v4: 9.3), uma falha crítica de injeção de comando no sistema operacional que um atacante pode explorar para realizar a execução de código remoto em dispositivos suscetíveis por meio de uma requisição especialmente elaborada.

A empresa de infraestrutura web e segurança Akamai disse que a primeira tentativa de exploração visando a falha remonta a maio de 2024, embora um exploit de prova de conceito (PoC) tenha sido disponibilizado publicamente desde junho de 2023.

"O exploit tem como alvo o endpoint /camera-cgi/admin/param.cgi nos dispositivos Edimax, e injeta comandos na opção NTP_serverName como parte da opção ipcamSource de param.cgi," disseram os pesquisadores da Akamai, Kyle Lefton e Larry Cashdollar.

Embora a armação do endpoint requeira autenticação, descobriu-se que as tentativas de exploração estão fazendo uso de credenciais padrão (admin:1234) para obter acesso não autorizado.

Identificou-se que pelo menos duas variantes diferentes do botnet Mirai estão explorando a vulnerabilidade, com uma delas também incorporando funcionalidade anti-debug antes de executar um script shell que recupera o malware para diferentes arquiteturas.

O objetivo final dessas campanhas é reunir os dispositivos infectados em uma rede capaz de orquestrar ataques de negação de serviço distribuído (DDoS) contra alvos de interesse sobre os protocolos TCP e UDP.

Além disso, observou-se que os botnets estão explorando a CVE-2024-7214 , que afeta dispositivos IoT da TOTOLINK, CVE-2021-36220, e uma vulnerabilidade em Hadoop YARN.

Em um aviso independente publicado na última semana, a Edimax disse que a CVE-2025-1316 afeta dispositivos legados que não são mais ativamente suportados e que não tem planos de fornecer um patch de segurança, uma vez que o modelo foi descontinuado há mais de 10 anos.

Dada a ausência de um patch oficial, aconselha-se que os usuários ou atualizem para um modelo mais recente, ou evitem expor o dispositivo diretamente na internet, alterem a senha de admin padrão e monitorem os logs de acesso para qualquer sinal de atividade incomum.

"Uma das maneiras mais eficazes para os cibercriminosos começarem a montar um botnet é visar firmware mal protegido e desatualizado em dispositivos antigos," disse a Akamai.

"O legado do Mirai continua a assombrar organizações em todo o mundo, pois a propagação dos botnets baseados em malware Mirai não mostra sinais de parada.

Com todo o tipo de tutoriais e códigos fonte disponíveis gratuitamente (e, agora, com assistência de IA), montar um botnet tornou-se ainda mais fácil."

Publicidade

Traçamos um caminho para você ir do zero ao avançado em hacking

Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...