Araştırmacılar, AVTECH kapalı devre televizyon (CCTV) kameralarındaki uzaktan kod yürütmeye olanak tanıyan sıfırıncı gün açığı (CVE-2024-7029) da dahil olmak üzere çeşitli güvenlik açıklarını istismar eden bir botnet kampanyası keşfettiler.
CVE-2024-7029 beş yıldır biliniyor ancak ancak şimdi CVE olarak atandı; bu da henüz atanmamış güvenlik açıklarının bile izlenmesinin önemini gösteriyor.
CVE-2024-7029 AVTECH Kameralarındaki Kusur
CVE-2024-7029, AVTECH IP kamera cihazlarının parlaklık işlevindeki bir komut enjeksiyonu güvenlik açığıdır. Bu güvenlik açığı, bir saldırganın kötü amaçlı kod enjekte etmesine ve bunu yükseltilmiş ayrıcalıklara sahip bir hedef sistemde yürütmesine olanak tanır. Botnet kampanyası, 2020’de başlayan COVID-19 salgınına atıfta bulunan dize adlarına sahip bir Mirai varyantını yaymaktadır.
CISA, duyurusunda bu güvenlik açığının kolayca istismar edilebileceğini belirterek, bunu ‘Uzaktan istismar edilebilir/düşük saldırı karmaşıklığı/genel istismarlar mevcut/genel istismar biliniyor.’
Güvenlik açığı ilk olarak Mart 2024’te gözlemlenmiş olsa da analiz, tehdit aktörünün Aralık 2023’ten beri aktif olduğunu gösteriyor. CVE-2024-7029 için kavram kanıtı (PoC) 2019’dan beri kamuya açık, ancak Ağustos 2024’e kadar resmi bir CVE ataması almadı. Araştırmacılar, kampanyayı, resmi bir CVE ataması olmasa bile tehditleri izleme ve raporlamanın önemli bir önlem olarak ağırlığına bir örnek olarak gösteriyorlar.
Ancak Akamai araştırmacıları, botnet kampanyasının yalnızca CVE-2024-7029 ile sınırlı olmadığını, aralarında Hadoop YARN RCE, CVE-2014-8361 ve CVE-2017-17215’in de bulunduğu çeşitli AVTECH güvenlik açıklarını da hedef aldığını açıkladı.
Eski ve yamalanmamış güvenlik açıklarını kullanma taktiği, botnet operatörleri için endişe verici ama etkili bir odak noktası olmaya devam ediyor.
Yaygın Etki
AVTECH IP kameralarındaki CVE-2024-7029 güvenlik açığı, AVM1203 donanım yazılımı sürümleri FullImg-1023-1007-1011-1009’a kadar olan sürümleri etkiler. CVE-2024-7029’dan etkilenen AVTECH CCTV cihazları, söz konusu modeller yıllar önce durdurulmuş olsa da hala yaygın olarak kullanılmaktadır.
Bu cihazlar ulaştırma otoriteleri ve diğer kritik altyapı kuruluşları da dahil olmak üzere çeşitli endüstrilerde bulunmaktadır.
\r\n”}}”>
CISA, kullanıcıların bu güvenlik açığının kötüye kullanılma riskini en aza indirmek için aşağıdaki gibi savunma önlemleri almalarını öneriyor:
- Kontrol sistemi cihazlarının ve/veya sistemlerinin ağa maruz kalmasını en aza indirin. Yetkisiz erişim riskini artırabileceğinden, bunlara doğrudan internetten erişilemediğinden emin olun.
- Kontrol sistemi ağlarını ve uzak cihazları güvenlik duvarlarının arkasına yerleştirerek izole edin. Bu, onları iş ağlarından ayırmaya yardımcı olur ve potansiyel saldırı yüzeyini azaltır.
- Uzaktan erişim gerektiğinde, sanal özel ağlar (VPN’ler) gibi daha güvenli yöntemler kullanın. VPN’lerin kendi güvenlik açıkları olabileceğini unutmayın, bu nedenle bunları mevcut en güncel sürüme güncel tutmak önemlidir.
CVE-2024-7029 Avtech güvenlik açığının istismarı, resmi bir CVE ataması olmasa bile güvenlik açıklarının kuruluşunuz için hala bir tehdit oluşturabileceğini göstermektedir. Resmi CVE ataması olmayan, genel istismarları veya kullanılabilir PoC’leri olan birçok güvenlik açığı vardır ve bazı durumlarda cihazlar yamalanmadan kalır.
Bir tehdidi ortadan kaldırmanın bir yolu yoksa, güvenlik risklerini azaltmak ve düzenleyici para cezaları riskini düşürmek için önerilen yol, donanım ve yazılımı devre dışı bırakmaktır.