Uma falha de segurança não-corrigida que impacta a câmera de rede Edimax IC-7100 está sendo explorada por agentes de ameaças para entregar variantes do malware Mirat botnet desde pelo menos maio de 2024.
A vulnerabilidade em questão é a
CVE-2025-1316
(pontuação CVSS v4: 9.3), uma falha crítica de injeção de comando no sistema operacional que um atacante pode explorar para realizar a execução de código remoto em dispositivos suscetíveis por meio de uma requisição especialmente elaborada.
A empresa de infraestrutura web e segurança Akamai disse que a primeira tentativa de exploração visando a falha remonta a maio de 2024, embora um exploit de prova de conceito (PoC) tenha sido disponibilizado publicamente desde junho de 2023.
"O exploit tem como alvo o endpoint /camera-cgi/admin/param.cgi nos dispositivos Edimax, e injeta comandos na opção NTP_serverName como parte da opção ipcamSource de param.cgi," disseram os pesquisadores da Akamai, Kyle Lefton e Larry Cashdollar.
Embora a armação do endpoint requeira autenticação, descobriu-se que as tentativas de exploração estão fazendo uso de credenciais padrão (admin:1234) para obter acesso não autorizado.
Identificou-se que pelo menos duas variantes diferentes do botnet Mirai estão explorando a vulnerabilidade, com uma delas também incorporando funcionalidade anti-debug antes de executar um script shell que recupera o malware para diferentes arquiteturas.
O objetivo final dessas campanhas é reunir os dispositivos infectados em uma rede capaz de orquestrar ataques de negação de serviço distribuído (DDoS) contra alvos de interesse sobre os protocolos TCP e UDP.
Além disso, observou-se que os botnets estão explorando a
CVE-2024-7214
, que afeta dispositivos IoT da TOTOLINK, CVE-2021-36220, e uma vulnerabilidade em Hadoop YARN.
Em um aviso independente publicado na última semana, a Edimax disse que a
CVE-2025-1316
afeta dispositivos legados que não são mais ativamente suportados e que não tem planos de fornecer um patch de segurança, uma vez que o modelo foi descontinuado há mais de 10 anos.
Dada a ausência de um patch oficial, aconselha-se que os usuários ou atualizem para um modelo mais recente, ou evitem expor o dispositivo diretamente na internet, alterem a senha de admin padrão e monitorem os logs de acesso para qualquer sinal de atividade incomum.
"Uma das maneiras mais eficazes para os cibercriminosos começarem a montar um botnet é visar firmware mal protegido e desatualizado em dispositivos antigos," disse a Akamai.
"O legado do Mirai continua a assombrar organizações em todo o mundo, pois a propagação dos botnets baseados em malware Mirai não mostra sinais de parada.
Com todo o tipo de tutoriais e códigos fonte disponíveis gratuitamente (e, agora, com assistência de IA), montar um botnet tornou-se ainda mais fácil."
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...