Una vulnerabilidad crítica de varios años que afecta a las cámaras IP de AVTECH ha sido utilizada por actores maliciosos como un exploit de día cero para integrar estos dispositivos en una red de bots.
La vulnerabilidad en cuestión, identificada como CVE-2024-7029 (con una puntuación CVSS de 8,7), es una “vulnerabilidad de inyección de comandos en la función de brillo de las cámaras de circuito cerrado de televisión (CCTV) de AVTECH que permite la ejecución remota de código (RCE)”, según los investigadores de Akamai Kyle Lefton, Larry Cashdollar y Aline Eliovich.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) hizo públicos los detalles de esta deficiencia de seguridad a principios de este mes, destacando su baja complejidad de ataque y la posibilidad de explotación remota.
“La explotación exitosa de esta vulnerabilidad podría permitir a un atacante inyectar y ejecutar comandos como propietario del proceso en ejecución”, advirtió la agencia en una alerta publicada el 1 de agosto de 2024.
Cabe destacar que el problema sigue sin resolverse. Afecta a los dispositivos con cámara AVM1203 que utilizan versiones de firmware hasta FullImg-1023-1007-1011-1009 incluidas. Aunque estos dispositivos ya no se fabrican, siguen siendo usados en instalaciones comerciales, servicios financieros, atención médica, salud pública y sistemas de transporte, según la CISA.
Akamai señaló que la campaña de ataques ha estado activa desde marzo de 2024, aunque la vulnerabilidad ya había sido explotada con una prueba de concepto pública en febrero de 2019. No se asignó un identificador CVE hasta este mes.
“Los actores maliciosos detrás de estas botnets han estado utilizando vulnerabilidades nuevas o poco conocidas para propagar malware”, comentó la empresa de infraestructura web. “Hay muchas vulnerabilidades con exploits públicos o PoC disponibles que aún no tienen una asignación formal de CVE y, en algunos casos, los dispositivos siguen sin parches”.
Las cadenas de ataque son relativamente simples, ya que explotan la cámara IP de AVTECH junto con otras vulnerabilidades conocidas (CVE-2014-8361 y CVE-2017-17215) para propagar una variante de la botnet Mirai en los sistemas afectados.
“En este caso, es probable que la botnet esté utilizando la variante Corona Mirai, a la que otros proveedores mencionaron en 2020 en relación con el virus COVID-19”, indicaron los investigadores. “El malware, al ejecutarse, se conecta a numerosos hosts a través de Telnet en los puertos 23, 2323 y 37215 y también imprime la cadena ‘Corona’ en la consola de un host infectado”.
Este desarrollo ocurre semanas después de que las empresas de ciberseguridad Sekoia y Team Cymru detallaran una botnet “misteriosa” llamada 7777 (o Quad7), que ha aprovechado enrutadores TP-Link y ASUS comprometidos para realizar ataques de fuerza bruta contra cuentas de Microsoft 365. Hasta el 5 de agosto de 2024, se han identificado hasta 12.783 bots activos.
“Esta botnet es conocida en el código abierto por implementar proxies SOCKS5 en dispositivos comprometidos para retransmitir ataques de ‘fuerza bruta’ extremadamente lentos contra cuentas de Microsoft 365 de muchas entidades en todo el mundo”, señalaron los investigadores de Sekoia, destacando que la mayoría de los enrutadores infectados se encuentran en Bulgaria, Rusia, Estados Unidos y Ucrania.
Aunque la botnet recibe su nombre por abrir el puerto TCP 7777 en los dispositivos comprometidos, una investigación adicional del Equipo Cymru ha revelado una posible expansión para incluir un segundo conjunto de bots compuestos principalmente por enrutadores ASUS, con el puerto abierto 63256.
“La botnet Quad7 sigue representando una amenaza significativa, demostrando tanto su capacidad de resistencia como su adaptabilidad, incluso si su potencial actual es desconocido o inalcanzable”, afirmó Team Cymru. “El vínculo entre las botnets 7777 y 63256, aunque parece operar de manera diferenciada, resalta aún más las tácticas en evolución de los operadores de amenazas detrás de Quad7”.
Fuente: thehackernews.com