Malicious hackers kihasználják a kritikus sebezhetőséget egy széles körben használt biztonsági kamerában, hogy terjesszék a Mirai nevű malware családot. Ezt a kártevőt a megfertőzött Internet of Things (IoT) eszközök nagy hálózatokká szervezésére használják, amelyeket támadások során alkalmaznak, hogy weboldalakat és egyéb internetkapcsolt eszközöket terheljenek le.
A támadások célpontja az AVM1203, amely egy felügyeleti eszköz a tajvani AVTECH gyártótól. Az Akamai hálózatbiztonsági szolgáltató szerdai bejelentése szerint ismeretlen támadók március óta kihasználják a 5 éves sebezhetőséget. A zero-day sebezhetőség, amelyet a CVE-2024-7029-ként követnek, könnyen kihasználható, és lehetővé teszi a támadók számára, hogy rosszindulatú kódot futtassanak. Az AVM1203 már nem kapható és nem támogatott, így a kritikus zero-day hibát javító frissítés sem érhető el.
Miért fontos ez?
Akamai szerint a támadók a sebezhetőséget arra használják, hogy a Mirai egy variánsát telepítsék, amely 2016 szeptemberében jelent meg, amikor egy megfertőzött eszközökből álló botnet leállította a Krebs on Security kiberbiztonsági híroldalt. A Mirai olyan funkciókat tartalmazott, amelyek lehetővé tették a kompromittált webkamerák, routerek és más IoT eszközök számára, hogy elosztott szolgáltatásmegtagadási támadásokat végezzenek rekord méretű mértékben.
A következő hetekben a Mirai botnet hasonló támadásokat indított internet szolgáltatók és más célpontok ellen. Az egyik ilyen támadás a dinamikus domain név szolgáltató, a Dyn ellen irányult, amely hatalmas területeket bénított meg az interneten.
A támadások részletei
Kyle Lefton, az Akamai biztonsági kutatója e-mailben jelezte, hogy észlelték a támadókat, akik “különböző szervezetek” ellen hajtottak végre DDoS támadásokat, de további részleteket nem árult el. Eddig a csapat nem észlelt olyan jeleket, hogy a támadók figyelemmel kísérnék a videofelvételeket, vagy más célokra használnák a megfertőzött kamerákat.
Akamai a támadások észlelésére egy “honeypot” technikát használt, amely a nyílt interneten a kamerákra hasonlító eszközöket imitál. Ez a technika azonban nem teszi lehetővé a kutatók számára a botnet méretének mérését.
Mit tehetünk?
A legjobb megoldás azok számára, akik ilyen kamerát használnak, hogy kicseréljék azt, mivel ez a kamera modell már nem támogatott. Mint minden internetkapcsolt eszköz, az IoT eszközök soha nem lehetnek elérhetők az alapértelmezett hitelesítő adatokkal, amelyekkel szállították őket.
Érdekesség: A Mirai malware forráskódja 2016 októberében került nyilvánosságra, lehetővé téve bárki számára, hogy saját botnetet hozzon létre.
Források: Akamai, Krebs on Security