AVTECH IP kameralarını etkileyen yıllardır var olan yüksek düzeydeki bir güvenlik açığı, kötü niyetli kişiler tarafından sıfırıncı gün açığı olarak kullanılarak onları bir botnet’e dahil etmek için kullanıldı.
Akamai araştırmacıları Kyle Lefton, Larry Cashdollar ve Aline Eliovich, söz konusu güvenlik açığının CVE-2024-7029 (CVSS puanı: 8,7) olduğunu ve “uzaktan kod yürütmeye (RCE) olanak tanıyan AVTECH kapalı devre televizyon (CCTV) kameralarının parlaklık işlevinde bulunan bir komut enjeksiyonu güvenlik açığı” olduğunu söyledi.
Güvenlik açığının ayrıntıları ilk olarak bu ayın başlarında ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) tarafından kamuoyuna duyurulmuş ve düşük saldırı karmaşıklığı ile uzaktan istismar edilebilme yeteneği vurgulanmıştı.
Kurum, 1 Ağustos 2024’te yayınladığı uyarıda, “Bu güvenlik açığının başarılı bir şekilde istismar edilmesi, bir saldırganın çalışan işlemin sahibiymiş gibi komutlar enjekte etmesine ve yürütmesine olanak tanıyabilir” ifadelerine yer verdi.
Sorunun yamalanmamış olduğunu belirtmekte fayda var. FullImg-1023-1007-1011-1009’a kadar olan donanım yazılımı sürümlerini kullanan AVM1203 kamera cihazlarını etkiliyor. Cihazlar, üretimi durdurulmuş olsa da, CISA’ya göre ticari tesislerde, finansal hizmetlerde, sağlık ve kamu sağlığı, ulaşım sistemleri sektörlerinde hala kullanılıyor.
Akamai, saldırı kampanyasının Mart 2024’ten beri devam ettiğini, ancak güvenlik açığının Şubat 2019’da kamuya açık bir kavram kanıtı (PoC) istismarına maruz kaldığını söyledi. Ancak, bu aya kadar bir CVE tanımlayıcısı yayınlanmadı.
“Bu botnetleri işleten kötü niyetli aktörler, kötü amaçlı yazılımları yaymak için yeni veya radar altında olan güvenlik açıklarını kullanıyor,” dedi web altyapı şirketi. “Resmi CVE ataması olmayan, genel istismarlara veya kullanılabilir PoC’lere sahip birçok güvenlik açığı var ve bazı durumlarda cihazlar yamalanmamış durumda.”
Saldırı zincirleri oldukça basittir; hedef sistemlere Mirai botnet varyantını yaymak için AVTECH IP kamerasının yanı sıra diğer bilinen güvenlik açıklarından (CVE-2014-8361 ve CVE-2017-17215) yararlanırlar.
Araştırmacılar, “Bu örnekte, botnet’in muhtemelen 2020’nin başlarında COVID-19 virüsüyle ilgili olarak diğer satıcılar tarafından referans alınan Corona Mirai varyantını kullandığını” söyledi. “Yürütme sırasında, kötü amaçlı yazılım Telnet üzerinden 23, 2323 ve 37215 portlarında çok sayıda ana bilgisayara bağlanıyor. Ayrıca, enfekte olmuş bir ana bilgisayardaki konsola ‘Corona’ dizesini yazdırıyor.”
Gelişme, siber güvenlik firmaları Sekoia ve Team Cymru’nun, Microsoft 365 hesaplarına karşı parola püskürtme saldırıları düzenlemek için tehlikeye atılmış TP-Link ve ASUS yönlendiricilerini kullanan 7777 (veya Quad7) adlı “gizemli” bir botnet’i ayrıntılı olarak açıklamasından haftalar sonra geldi. 5 Ağustos 2024 itibarıyla 12.783’e kadar aktif bot belirlendi.
Sekoia araştırmacıları, “Bu botnet, dünyanın dört bir yanındaki birçok kuruluşun Microsoft 365 hesaplarına karşı son derece yavaş ‘kaba kuvvet’ saldırılarını iletmek için, tehlikeye atılmış cihazlarda SOCKS5 proxy’leri dağıtmasıyla açık kaynak olarak biliniyor” dedi ve enfekte olmuş yönlendiricilerin çoğunun Bulgaristan, Rusya, ABD ve Ukrayna’da bulunduğunu belirtti.
Botnet, adını tehlikeye atılmış cihazlarda 7777 numaralı TCP portunu açmasından alsa da, Team Cymru tarafından yapılan takip soruşturması, çoğunlukla ASUS yönlendiricilerinden oluşan ve 63256 numaralı açık portla karakterize edilen ikinci bir bot setini de içerecek şekilde olası bir genişlemeyi ortaya çıkardı.
“Quad7 botnet’i, potansiyeli şu anda bilinmese veya ulaşılamasa bile hem dayanıklılık hem de uyum yeteneği göstererek önemli bir tehdit oluşturmaya devam ediyor,” dedi Team Cymru. “7777 ve 63256 botnet’leri arasındaki bağlantı, belirgin bir operasyonel silo gibi görünen şeyi korurken, Quad7’nin arkasındaki tehdit operatörlerinin evrimleşen taktiklerini daha da vurguluyor.”