Kwaadwillende hackers maken misbruik van een kritieke kwetsbaarheid in een veelgebruikte beveiligingscamera om Mirai te verspreiden, een familie van malware die geïnfecteerde Internet of Things-apparaten in grote netwerken verweeft voor gebruik bij aanvallen waarbij websites en andere met internet verbonden apparaten offline worden gehaald.
De aanvallen zijn gericht op de AVM1203, een monitoringapparaat van de Taiwanese fabrikant AVTECH, zei netwerkbeveiligingsprovider Akamai woensdag. Onbekende aanvallers maken sinds maart misbruik van een vijf jaar oude kwetsbaarheid. De zero-day-kwetsbaarheid, bijgehouden als CVE-2024-7029, is eenvoudig te misbruiken en stelt aanvallers in staat kwaadaardige code uit te voeren. De AVM1203 wordt niet langer verkocht of ondersteund, dus er is geen update beschikbaar om de kritieke zero-day op te lossen.
Die keer bracht het ragtag-leger het internet op zijn kop
Akamai zei dat aanvallers de kwetsbaarheid misbruiken om een variant van Mirai te installeren, die in september 2016 arriveerde toen een botnet van geïnfecteerde apparaten de cybersecurity-nieuwswebsite Krebs on Security neerhaalde. Mirai bevatte functionaliteit waarmee een leger van gecompromitteerde webcams, routers en andere soorten IoT-apparaten gedistribueerde denial-of-service-aanvallen van recordgrootte kon uitvoeren. In de weken die volgden voerde het Mirai-botnet soortgelijke aanvallen uit tegen internetproviders en andere doelwitten. Eén zo’n aanval, tegen de dynamische domeinnaamprovider Dyn, legde grote delen van het internet lam. Wat de inspanningen om Mirai in bedwang te houden nog ingewikkelder maakte, hebben de makers de malware in het publieke domein vrijgegeven, een stap die vrijwel iedereen in staat stelde zijn eigen botnets te creëren die DDoS-aanvallen van eens onvoorstelbare omvang uitbrachten.
Kyle Lefton, een beveiligingsonderzoeker bij Akamai’s veiligheidsinformatie- en verantwoordingsteam, zei in een e-mail dat hij merkte dat de dreigingsactor achter de aanval DDoS-aanvallen uitvoerde tegen “verschillende organisaties”, die hij niet verder noemde of beschreef. Tot nu toe heeft het team geen aanwijzingen gezien dat dreigingsactoren videofeeds monitoren of geïnfecteerde camera’s voor andere doeleinden gebruiken.
Akamai ontdekte de activiteit met behulp van een ‘honingpot’ van camera-emulerende apparaten op het open internet om eventuele aanvallen op hen te detecteren. Met de techniek kunnen onderzoekers de omvang van het botnet niet meten. De Amerikaanse Cybersecurity and Infrastructure Security Agency waarschuwde eerder deze maand voor de kwetsbaarheid.
Dankzij deze techniek kon Akamai echter de code vastleggen die werd gebruikt om het apparaat te compromitteren. Het richt zich op een kwetsbaarheid die al sinds 2019 bekend is, toen de exploitcode openbaar werd. De nuldag is te vinden in het “helderheidsargument in de parameter ‘action=’” en maakt het mogelijk dat het commando wordt geïnjecteerd, schreven de onderzoekers. De zero-day, ontdekt door Akamai-onderzoeker Aline Eliovich, werd pas deze maand formeel erkend met de publicatie van CVE-2024-7029.
In het bericht van woensdag stond verder:
Hoe werkt het?
Deze kwetsbaarheid werd in eerste instantie ontdekt door onze honeypot-logboeken te onderzoeken. Figuur 1 toont de gedecodeerde URL voor de duidelijkheid. Gedecodeerde lading
Toename / Figuur 1: Gedecodeerde payload-tekst van de exploitpoging
Akamai
Figuur 1: Gedecodeerde payload-tekst van de exploitpoging
De kwetsbaarheid ligt in de helderheidsfunctie in het bestand /cgi-bin/supervisor/Factory.cgi (Figuur 2).
Toename / Figuur 2: PoC-exploits
Akamai
Wat zou er kunnen gebeuren?
In de voorbeelden van exploits die we hebben waargenomen, is dit in essentie wat er gebeurde: door misbruik te maken van dit beveiligingslek kan een aanvaller externe code uitvoeren op een doelsysteem.
Figuur 3 is een voorbeeld van een bedreiging die deze fout misbruikt om een JavaScript-bestand te downloaden en uit te voeren om de belangrijkste malware-inhoud op te halen en te laden. Net als veel andere botnets verspreidt ook deze een variant van de Mirai-malware naar zijn doelwitten.
Toename / Figuur 3: Tekenreeksen van de JavaScript-downloader
Akamai
In dit geval maakt het botnet waarschijnlijk gebruik van een variant van Corona Mirai, die al in 2020 door andere leveranciers werd genoemd in verband met het COVID-19-virus.
Eenmaal uitgevoerd, maakt de malware via Telnet verbinding met een groot aantal hosts op de poorten 23, 2323 en 37215. Ook wordt de string ‘Corona’ afgedrukt op de console van de geïnfecteerde host (Afbeelding 4).
Toename / Figuur 4: Uitvoering van malware met console-uitvoer
Akamai
Uit statische tekenreeksanalyse in de malwarevoorbeelden blijkt dat het pad /ctrlt/DeviceUpgrade_1 zich richt in een poging Huawei-apparaten te misbruiken die zijn getroffen door CVE-2017-17215. De voorbeelden hebben twee hardgecodeerde IP-adressen voor commando’s en controle, waarvan er één deel uitmaakt van de exploitcode CVE-2017-17215:
Het botnet richtte zich ook op verschillende andere kwetsbaarheden, waaronder Hadoop YARN RCE, CVE-2014-8361 en CVE-2017-17215. We hebben gezien dat deze kwetsbaarheden verschillende keren in het wild zijn uitgebuit en blijven succesvol.
Aangezien dit cameramodel niet langer wordt ondersteund, is vervanging het beste voor iedereen die het model gebruikt. Zoals met alle op het internet aangesloten apparaten mogen IoT-apparaten nooit toegankelijk zijn met behulp van de standaardreferenties die daarbij horen.
