Corona Mirai Botnet Yeni Botlar Kiralamak İçin RCE Zero-Day’i Kullanıyor


Corona Mirai Botnet Yeni Botlar Kiralamak İçin RCE Zero-Day'i Kullanıyor

Bir botnet, AVTECH CCTV kameralarındaki CVE-2024-7029 adlı yeni bir sıfırıncı gün açığını kullanarak, uzaktan kod yürütülmesine olanak tanıyan parlaklık işlevindeki bir komut enjeksiyon açığı olan Mirai türünü yayıyor.

Bu güvenlik açığından yararlanarak kameraların kontrolünü ele geçiriyor ve 2020’den beri gözlemlenen COVID-19’a atıfta bulunan Mirai kötü amaçlı yazılımının bir çeşidini kullanarak kendini daha da yayıyor.

DÖRT

AVTECH IP kameralarında kritik bir sıfırıncı gün açığı olan CVE-2024-7029 keşfedildi. Bu güvenlik açığı, saldırganların yüksek ayrıcalıklarla uzaktan komutlar yürütmesine ve böylece Mirai botnet türünü yaymalarına olanak tanıyor.

Botnet kampanyası, CVE-2014-8361 ve CVE-2017-17215 gibi eski ve yamalanmamış güvenlik açıklarını da hedef alıyor. Bu, saldırganların göz ardı edilen veya düşük öncelikli olduğu düşünülen güvenlik açıklarını istismar etme eğilimini ortaya koyuyor.

CVE-2024-7029, AVTECH IP kameralarını etkileyen ve cihazın “action=” komutu içindeki “brightness” parametresinin işlenmesinde yatan kritik bir güvenlik açığıdır.

Free Webinar on Detecting & Blocking Supply Chain Attack -> Book your Spot

Kötü niyetli kişiler, cihazın sistemine keyfi komutlar enjekte ederek bu durumu istismar edebilir ve potansiyel olarak yetkisiz erişim ve kontrol elde edebilirler.

Bu güvenlik açığından aktif olarak yararlanıldı ve saldırganlar, değiştirilmiş bir Mirai botnet varyantını tehlikeye atılmış cihazlara yaydı.

Botnetin COVID-19’a atıfta bulunan ismi, bu tür güvenlik açıklarının oluşturduğu devam eden tehdidi vurguluyor.

Saldırının PoC’si

AVTECH IP kamera cihazlarındaki CVE-2024-7029 güvenlik açığı en az Aralık 2023’ten bu yana istismar ediliyor ve ilk aktif kampanya Mart 2024’te gözlemlendi.

Bu güvenlik açığına ilişkin kavram kanıtı 2019’dan beri kamuoyuna açık olmasına rağmen, Ağustos 2024’e kadar CVE onayı almadı.

Yıllar önce üretimi durdurulmuş olmasına rağmen bu cihazlar hâlâ kritik altyapılarda yaygın olarak kullanılıyor ve bu da onları saldırganlar için önemli bir hedef haline getiriyor.

Güvenlik açığı, kullanıcı tarafından sağlanan girdiyi uygun doğrulama olmadan işleyen /cgi-bin/supervisor/Factory.cgi dosyasının parlaklık işlevinde bulunuyor ve bu da kod enjeksiyonu güvenlik açığına yol açıyor.

JavaScript indiricisinden dizeler

Saldırıyı gerçekleştirenler, sunucu tarafından yürütülen ve yetkisiz erişime, veri sızdırmaya veya diğer kötü amaçlı eylemlere yol açan keyfi kod içeren kötü amaçlı girdiler oluşturabilir.

İlk olarak, kod çözülen yükün istismar girişimine dair kanıt sağladığı honeypot kayıtlarının analiz edilmesiyle tanımlandı.

Saldırganlar, virüslü cihazı bir bota dönüştüren Mirai kötü amaçlı yazılımının bir çeşidi olan ana kötü amaçlı yazılım yükünü alıp yükleyen bir JavaScript dosyasını uzaktan kod çalıştırmak ve indirmek için bir güvenlik açığından yararlandı.

Konsola çıktı gösteren kötü amaçlı yazılımın yürütülmesi

Kötü amaçlı yazılım daha sonra diğer botlara bağlandı ve kötü amaçlı eylemler gerçekleştirdi; bunların arasında diğer ağ açıklarını istismar etmek ve belirli bir Huawei cihazındaki güvenlik açığından faydalanmaya çalışmak da yer alıyor (CVE-2017-17215).

Akamai’ye göre, CVE’ler olmadan oluşan güvenlik açıkları, kötü niyetli aktörlerin kötü amaçlı yazılım yaymak için bunları kullanması nedeniyle önemli tehditler oluşturabilir; CVE-2024-7029 bu eğilimin bir örneğidir.

Genel istismarlar veya PoC’ler içeren birçok yamalanmamış güvenlik açığı mevcuttur ve bu da yama yönetimini zorlaştırır. Düzeltmenin imkansız olduğu durumlarda, riskleri azaltmak ve düzenleyici para cezalarından kaçınmak için donanım ve yazılımın devre dışı bırakılması önerilir.

Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial



Source link