Una vulnerabilità di alta gravità, presente da anni nelle telecamere IP AVTECH, è stata recentemente sfruttata da attori malevoli per integrarli in una botnet. Questa vulnerabilità, identificata come CVE-2024-7029 con un punteggio CVSS di 8.7, è una falla di iniezione di comandi nella funzione di luminosità delle telecamere a circuito chiuso (CCTV) AVTECH che consente l'esecuzione di codice remoto (RCE). Gli esperti di Akamai, Kyle Lefton, Larry Cashdollar e Aline Eliovich, hanno confermato che questa vulnerabilità permette agli aggressori di iniettare ed eseguire comandi come proprietari del processo in esecuzione.

La vulnerabilità è stata resa pubblica all'inizio di questo mese dalla Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti, che ha sottolineato la bassa complessità dell'attacco e la possibilità di sfruttarlo da remoto. La falla rimane non risolta e colpisce i dispositivi AVM1203 con versioni firmware fino a FullImg-1023-1007-1011-1009 inclusa. Nonostante siano stati dismessi, questi dispositivi sono ancora utilizzati in settori come strutture commerciali, servizi finanziari, sanità e sistemi di trasporto.

Akamai ha rilevato che la campagna di attacco è in corso da marzo 2024, anche se un proof-of-concept (PoC) pubblico della vulnerabilità esisteva già da febbraio 2019. Tuttavia, un identificatore CVE è stato assegnato solo questo mese. Gli attori malevoli utilizzano vulnerabilità nuove o poco conosciute per diffondere malware, e molte di queste vulnerabilità, pur avendo exploit pubblici o PoC disponibili, non hanno assegnazioni CVE formali e i dispositivi spesso rimangono non patchati.

Nonostante non ci siano dati disponibili sull'ampiezza di questi attacchi, si stima che ci siano circa 27,000 dispositivi AVTech esposti su internet. Akamai ha dichiarato di avere informazioni definitive sull'attribuzione che intende divulgare in un secondo momento. Gli attacchi sfruttano la falla delle telecamere IP AVTECH insieme ad altre vulnerabilità note (CVE-2014-8361 e CVE-2017-17215) per diffondere una variante del botnet Mirai sui sistemi bersaglio.

In questo caso, il botnet utilizza probabilmente la variante Corona Mirai, che è stata menzionata da altri fornitori già dal 2020 in relazione al virus COVID-19. Una volta eseguito, il malware si connette a un gran numero di host tramite Telnet sulle porte 23, 2323 e 37215, stampando anche la stringa 'Corona' sulla console di un host infetto.

Questo sviluppo arriva poche settimane dopo che le aziende di cybersecurity Sekoia e Team Cymru hanno dettagliato un botnet "misterioso" chiamato 7777 (o Quad7), che ha utilizzato router TP-Link e ASUS compromessi per effettuare attacchi di password spraying contro account Microsoft 365. Sono stati identificati fino a 12,783 bot attivi al 5 agosto 2024. Questo botnet è noto per l'uso di proxy SOCKS5 su dispositivi compromessi per rilanciare attacchi estremamente lenti di brute-force contro account Microsoft 365 di molte entità globali.