Felfedeztük a Javíthatatlan 0-napos sebezhetőséget a megfigyelő kamerákban – Így telepítik a Mirai botnetet!

Malicious hackers kihasználják a kritikus sebezhetőséget egy széles körben használt biztonsági kamerában, hogy terjesszék a Mirai nevű malware családot. Ezt a kártevőt a megfertőzött Internet of Things (IoT) eszközök nagy hálózatokká szervezésére használják, amelyeket támadások során alkalmaznak, hogy weboldalakat és egyéb internetkapcsolt eszközöket terheljenek le.

A támadások célpontja az AVM1203, amely egy felügyeleti eszköz a tajvani AVTECH gyártótól. Az Akamai hálózatbiztonsági szolgáltató szerdai bejelentése szerint ismeretlen támadók március óta kihasználják a 5 éves sebezhetőséget. A zero-day sebezhetőség, amelyet a CVE-2024-7029-ként követnek, könnyen kihasználható, és lehetővé teszi a támadók számára, hogy rosszindulatú kódot futtassanak. Az AVM1203 már nem kapható és nem támogatott, így a kritikus zero-day hibát javító frissítés sem érhető el.

Miért fontos ez?

Akamai szerint a támadók a sebezhetőséget arra használják, hogy a Mirai egy variánsát telepítsék, amely 2016 szeptemberében jelent meg, amikor egy megfertőzött eszközökből álló botnet leállította a Krebs on Security kiberbiztonsági híroldalt. A Mirai olyan funkciókat tartalmazott, amelyek lehetővé tették a kompromittált webkamerák, routerek és más IoT eszközök számára, hogy elosztott szolgáltatásmegtagadási támadásokat végezzenek rekord méretű mértékben.

A következő hetekben a Mirai botnet hasonló támadásokat indított internet szolgáltatók és más célpontok ellen. Az egyik ilyen támadás a dinamikus domain név szolgáltató, a Dyn ellen irányult, amely hatalmas területeket bénított meg az interneten.

A támadások részletei

Kyle Lefton, az Akamai biztonsági kutatója e-mailben jelezte, hogy észlelték a támadókat, akik “különböző szervezetek” ellen hajtottak végre DDoS támadásokat, de további részleteket nem árult el. Eddig a csapat nem észlelt olyan jeleket, hogy a támadók figyelemmel kísérnék a videofelvételeket, vagy más célokra használnák a megfertőzött kamerákat.

Akamai a támadások észlelésére egy “honeypot” technikát használt, amely a nyílt interneten a kamerákra hasonlító eszközöket imitál. Ez a technika azonban nem teszi lehetővé a kutatók számára a botnet méretének mérését.

Mit tehetünk?

A legjobb megoldás azok számára, akik ilyen kamerát használnak, hogy kicseréljék azt, mivel ez a kamera modell már nem támogatott. Mint minden internetkapcsolt eszköz, az IoT eszközök soha nem lehetnek elérhetők az alapértelmezett hitelesítő adatokkal, amelyekkel szállították őket.

Érdekesség: A Mirai malware forráskódja 2016 októberében került nyilvánosságra, lehetővé téve bárki számára, hogy saját botnetet hozzon létre.

Források: Akamai, Krebs on Security