Ботнет Corona (вариация Mirai) распространяется через RCE-уязвимость нулевого дня пятилетней давности в IP-камерах AVTECH. Эти устройства давно сняты с производства, поэтому пачтей ожидать не стоит.
Уязвимость была обнаружена специалистами Akamai и получила идентификатор CVE-2024-7029 (8,7 балла по шкале CVSS). Баг связан с функцией Brightness («Яркость») и позволяет неаутентифицированным злоумышленникам осуществлять инъекции команды с помощью специально подготовленных запросов.
Проблема затрагивает все IP-камеры AVTECH AVM1203, работающие на прошивках до версии Fullmg-1023-1007-1011-1009. Так как поддержка этих камер уже прекращена, а срок их эксплуатации истек еще в 2019 году, патчей для CVE-2024-7029 нет и выпускать их не планируют.
Эксперты Агентства по кибербезопасности и защите инфраструктуры США (CISA) предупреждают, что уязвимость CVE-2024-7029 уже взята на вооружение хакерами и для нее существуют публично доступные эксплоиты. По данным специалистов, уязвимые камеры по-прежнему используются на коммерческих объектах, в финансовых организациях, а также в сфере здравоохранении и транспортных системах.
При этом PoC-эксплоиты для этой проблемы существуют как минимум с 2019 года, однако идентификатор CVE был присвоен уязвимости только в этом месяце, и активных атак на нее ранее замечено не было.
Как сообщают исследователи Akamai, Corona — это созданный на базе Mirai вредонос, который существует как минимум с 2020 года и эксплуатирует для распространения различные уязвимости в IoT-устройствах. Начиная с 18 марта 2024 года, Corona использует в своих атаках проблему CVE-2024-7029, взламывая уязвимые IP-камеры AVM1203.
Атаки Corona были зафиксированы ханипотами Akamai. Хакеры использовали CVE-2024-7029 для загрузки и выполнения JavaScript-файла, который, в свою очередь, загружал на устройство жертвы основную полезную нагрузку ботнета.
Проникнув на устройство, малварь подключается к своим управляющим серверам и ожидает дальнейших инструкций для выполнения DDoS-атак.
По словам исследователей, Corona также эксплуатирует и другие уязвимости в IoT-девайсах, включая:
- CVE-2017-17215 — уязвимость в маршрутизаторах Huawei, позволяющая удаленным атакующим выполнять произвольные команды на затронутых устройствах за счет некорректной валидации в службе UPnP.
- CVE-2014-8361 — RCE-уязвимость в Realtek SDK, который часто встречается в маршрутизаторах. Может использоваться через службу HTTP, запущенную на устройствах.
- Hadoop YARN RCE — уязвимость в системе управления ресурсами Hadoop YARN (Yet Another Resource Negotiator), которая может использоваться для удаленного выполнения кода в кластерах Hadoop.
Владельцам уязвимых камер AVTECH AVM1203 настоятельно рекомендуется как можно скорее отключить их и заменить на более новые и поддерживаемые устройства.
