VietNetwork.Vn

Một lỗ hổng nghiêm trọng tồn tại nhiều năm trên camera IP AVTECH đã bị kẻ xấu lợi dụng thành lỗ hổng zero-day để dụ chúng vào mạng botnet.

CVE-2024-7029 (điểm CVSS: 8,7), lỗ hổng bảo mật đang được đề cập, là "lỗ hổng tiêm lệnh được tìm thấy trong chức năng độ sáng của camera truyền hình mạch kín (CCTV) AVTECH cho phép thực thi mã từ xa (RCE)", các nhà nghiên cứu của Akamai là Kyle Lefton, Larry Cashdollar và Aline Eliovich cho biết.


Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) lần đầu tiên công bố thông tin chi tiết về lỗ hổng bảo mật này vào đầu tháng này, nhấn mạnh tính phức tạp của cuộc tấn công và khả năng khai thác từ xa.

"Khai thác thành công lỗ hổng này có thể cho phép kẻ tấn công chèn và thực thi các lệnh với tư cách là chủ sở hữu của quy trình đang chạy", cơ quan này lưu ý trong cảnh báo được công bố vào ngày 1 tháng 8 năm 2024.

Cần lưu ý rằng sự cố vẫn chưa được vá. Nó ảnh hưởng đến các thiết bị camera AVM1203 sử dụng phiên bản phần mềm lên đến FullImg-1023-1007-1011-1009. Các thiết bị này, mặc dù đã ngừng sản xuất, vẫn được sử dụng trong các cơ sở thương mại, dịch vụ tài chính, chăm sóc sức khỏe và y tế công cộng, các lĩnh vực hệ thống giao thông, theo CISA.

Akamai cho biết chiến dịch tấn công đã diễn ra từ tháng 3 năm 2024, mặc dù lỗ hổng bảo mật này đã có bằng chứng công khai (PoC) từ tháng 2 năm 2019. Tuy nhiên, mã định danh CVE vẫn chưa được công bố cho đến tháng này.

"Những kẻ xấu điều hành các botnet này đã sử dụng các lỗ hổng mới hoặc chưa được phát hiện để phát tán phần mềm độc hại", công ty cơ sở hạ tầng web cho biết. "Có nhiều lỗ hổng với các khai thác công khai hoặc PoC có sẵn không có chỉ định CVE chính thức và trong một số trường hợp, các thiết bị vẫn chưa được vá".

Chuỗi tấn công khá đơn giản ở chỗ chúng lợi dụng lỗ hổng camera IP AVTECH, cùng với các lỗ hổng đã biết khác ( CVE-2014-8361 và CVE-2017-17215 ), để phát tán biến thể botnet Mirai trên các hệ thống mục tiêu.

"Trong trường hợp này, botnet có khả năng sử dụng biến thể Corona Mirai, đã được các nhà cung cấp khác tham chiếu từ đầu năm 2020 liên quan đến vi-rút COVID-19", các nhà nghiên cứu cho biết. "Khi thực thi, phần mềm độc hại kết nối với một số lượng lớn máy chủ thông qua Telnet trên các cổng 23, 2323 và 37215. Nó cũng in chuỗi 'Corona' vào bảng điều khiển trên máy chủ bị nhiễm".

Sự phát triển này diễn ra vài tuần sau khi các công ty an ninh mạng Sekoia và Team Cymru nêu chi tiết về một mạng botnet "bí ẩn" có tên 7777 (hay Quad7) đã lợi dụng các bộ định tuyến TP-Link và ASUS bị xâm nhập để dàn dựng các cuộc tấn công rải mật khẩu vào các tài khoản Microsoft 365. Tính đến ngày 5 tháng 8 năm 2024, đã xác định được tới 12.783 bot đang hoạt động.

Các nhà nghiên cứu của Sekoia cho biết : "Botnet này được biết đến trong mã nguồn mở vì triển khai proxy SOCKS5 trên các thiết bị bị xâm phạm để chuyển tiếp các cuộc tấn công 'brute-force' cực kỳ chậm vào các tài khoản Microsoft 365 của nhiều thực thể trên khắp thế giới", đồng thời lưu ý rằng phần lớn các bộ định tuyến bị nhiễm đều nằm ở Bulgaria, Nga, Hoa Kỳ và Ukraine.

Trong khi botnet có tên như vậy là do nó mở cổng TCP 7777 trên các thiết bị bị xâm phạm, một cuộc điều tra tiếp theo của Team Cymru đã tiết lộ khả năng mở rộng bao gồm một nhóm bot thứ hai chủ yếu bao gồm các bộ định tuyến ASUS và được đặc trưng bởi cổng mở 63256.

"Mạng bot Quad7 tiếp tục gây ra mối đe dọa đáng kể, thể hiện cả khả năng phục hồi và khả năng thích ứng, ngay cả khi tiềm năng của nó hiện chưa được biết đến hoặc chưa được khai thác", Nhóm Cymru cho biết. "Mối liên kết giữa mạng bot 7777 và 63256, trong khi vẫn duy trì những gì có vẻ là một silo hoạt động riêng biệt, càng nhấn mạnh thêm các chiến thuật đang phát triển của những kẻ điều hành mối đe dọa đằng sau Quad7".