信息化觀察網(wǎng)

本文來(lái)自微信公眾號(hào)“嘶吼專(zhuān)業(yè)版”，作者/胡金魚(yú) 。

基于 Corona Mirai 的惡意軟件僵尸網(wǎng)絡(luò)通過(guò) AVTECH IP 攝像機(jī)中存在 5 年之久的遠(yuǎn)程代碼執(zhí)行 (RCE) 零日漏洞進(jìn)行傳播，目前這些攝像機(jī)已停產(chǎn)多年，不會(huì)收到補(bǔ)丁。

該漏洞由 Akamai 的 Aline Eliovich 發(fā)現(xiàn)，編號(hào)為 CVE-2024-7029.是攝像機(jī)“亮度”功能中的一個(gè)高嚴(yán)重性問(wèn)題，CVSS v4 評(píng)分為8.7.允許未經(jīng)身份驗(yàn)證的攻擊者使用特制的請(qǐng)求通過(guò)網(wǎng)絡(luò)注入命令。

具體來(lái)說(shuō)，這個(gè)易于利用的漏洞存在于 AVTECH 攝像機(jī)固件的“action=”參數(shù)中的“亮度”參數(shù)中，該參數(shù)旨在允許遠(yuǎn)程調(diào)整攝像機(jī)的亮度，影響所有運(yùn)行 Fullmg-1023-1007-1011-1009 固件版本的 AVTECH AVM1203 IP 攝像機(jī)。

由于受影響的型號(hào)已于 2019 年達(dá)到使用壽命 (EoL)，因此沒(méi)有補(bǔ)丁可以解決 CVE-2024-7029.并且預(yù)計(jì)不會(huì)發(fā)布修復(fù)程序。

美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局在本月初發(fā)布了一份公告，警告 CVE-2024-7029 及其公開(kāi)漏洞的可用性，并警告這些攝像頭仍在商業(yè)設(shè)施、金融服務(wù)、醫(yī)療保健和公共衛(wèi)生以及交通系統(tǒng)中使用。

該漏洞的概念驗(yàn)證 (PoC) 漏洞至少自 2019 年起就已存在，但本月才分配了 CVE，并且之前尚未觀察到任何主動(dòng)利用。

CVE-2024-7029 的 PoC 漏洞利用

正在進(jìn)行開(kāi)發(fā)

Corona 是一個(gè)基于 Mirai 的變種，至少?gòu)?2020 年就已經(jīng)存在，利用物聯(lián)網(wǎng)設(shè)備中的各種漏洞進(jìn)行傳播。

Akamai 的 SIRT 團(tuán)隊(duì)報(bào)告稱，從 2024 年 3 月 18 日開(kāi)始，Corona 開(kāi)始在野外利用 CVE-2024-7029 發(fā)動(dòng)攻擊，目標(biāo)是仍在使用的 AVM1203 攝像機(jī)，盡管它們五年前就已經(jīng)達(dá)到 EoL。

觀察到的第一次活躍活動(dòng)始于 2024 年 3 月 18 日，但分析顯示，該變體早在 2023 年 12 月就已開(kāi)始活動(dòng)。CVE-2024-7029 的概念驗(yàn)證 (PoC) 至少?gòu)?2019 年 2 月起就已公開(kāi)，但直到 2024 年 8 月才有適當(dāng)?shù)?CVE 分配。

Akamai 的蜜罐捕獲的 Corona 攻擊利用 CVE-2024-7029 下載并執(zhí)行 JavaScript 文件，進(jìn)而將主要僵尸網(wǎng)絡(luò)負(fù)載加載到設(shè)備上。

一旦嵌入到設(shè)備上，惡意軟件就會(huì)連接到其命令和控制 (C2) 服務(wù)器并等待執(zhí)行分布式拒絕服務(wù) (DDoS) 攻擊的指令。

根據(jù) Akamai 的分析，Corona 針對(duì)的其他缺陷包括：

·CVE-2017-17215：品牌路由器中存在的一個(gè)漏洞，遠(yuǎn)程攻擊者可以利用 UPnP 服務(wù)中的不當(dāng)驗(yàn)證在受影響的設(shè)備上執(zhí)行任意命令。

·CVE-2014-8361：Realtek SDK 中的遠(yuǎn)程代碼執(zhí)行 (RCE) 漏洞，常見(jiàn)于消費(fèi)級(jí)路由器。該漏洞可通過(guò)這些路由器上運(yùn)行的 HTTP 服務(wù)被利用。

·Hadoop YARN RCE：Hadoop YARN(又一個(gè)資源協(xié)商器)資源管理系統(tǒng)中的漏洞，可被利用在 Hadoop 集群上執(zhí)行遠(yuǎn)程代碼。

建議 AVTECH AVM1203 IP 攝像機(jī)的用戶立即將其下線并替換為更新的、積極支持的型號(hào)。

由于 IP 攝像頭通常暴露在互聯(lián)網(wǎng)上，因此很容易成為威脅者的目標(biāo)，因此它們應(yīng)始終運(yùn)行最新的固件版本，以確保已知錯(cuò)誤得到修復(fù)。如果設(shè)備停產(chǎn)，應(yīng)將其更換為較新的型號(hào)，以繼續(xù)接收安全更新。