Mirai Botnet Exploits Zero-Day Vulnerability CVE-2024-7029 in AVTECH IP Cameras
2024/08/28 SecurityOnline — 先日に発見された AVTECH IP カメラのゼロデイ脆弱性 CVE-2024-7029 を悪用する、Mirai ボットネット・キャンペーンが広まっていると、Akamai の Security Intelligence Response Team (SIRT) が報告している。このリモート・コード実行の脆弱性が、”Corona” と呼ばれる Mirai 亜種の拡散に悪用されており、重要インフラのセキュリティに、重大な懸念を引き起こしている。
脆弱性 CVE-2024-7029 は、AVTECH IP カメラの “brightness” 機能に存在する、リモート・コード実行 (RCE) の欠陥である。この脆弱性の悪用に成功した攻撃者は、リモートからコマンド・インジェクションを実行し、標的システムで昇格した権限を取得できる。したがって、この脆弱性が悪用されると、Mirai ボットネットの亜種が展開され、驚くほど効率的にマルウェアが拡散されていく。
影響を受けるカメラ・モデルは、すでに製造中止になっているが、さまざまな分野の重要インフラで引き続き使用されている。そこで浮き彫りにされるのは、レガシー・システム管理の永続的な課題と、放置された脆弱性の潜在的な影響である。
米国の Cybersecurity and Infrastructure Security Agency (CISA) は、この脆弱性の重大性を強調するアドバイザリを公表し、悪用が容易で広範囲に影響を及ぼす可能性があることを指摘している。
脆弱性 CVE-2024-7029 を悪用するボットネット・キャンペーンは、その他の欠陥も狙っている。たとえばAVTECH デバイス以外の、Hadoop YARN RCE/Realtek SDK CVE-2014-8361/Huawei HG532 CVE-2017-17215 などの脆弱性も標的にされていると、Akamai の研究者たちは特定している。
問題のボットネットは、2020年の COVID-19 パンデミックから “Corona” という名称をつけられ、Mirai の亜種を拡散している。それらのマルウェアに感染すると、この亜種による積極的なスキャンが試行され、Huawei デバイスの脆弱性などが悪用される。その結果として感染の範囲が拡大され、Command and Control (C2 Server) インフラが強化されていく。
2024年3月18日の時点で Akamai SIRT は、最初のアクティブなボットネット・キャンペーンを観測した。そのアクティビティの痕跡は、2023年12月にまで遡るという。また、脆弱性 CVE-2024-7029 の PoC は 2019年から公開されているが、正式な CVE の割り当ては 2024年8月になってから行われている。現時点において、脆弱性 CVE-2024-7029 に対するパッチは提供されていない。Akamai が推奨するのは、影響を受けるデバイスの使用停止である。
AVTECH で検索してみると、国内でも販売されているようであり、その影響が懸念されます。2019年から PoC が公開されているのに、2024年8月になって正式な CVE の割り当てられるというチグハグさは、どこからくるのでしょうか。売りっぱなしが可能な商品ではないはずですが・・・
IoT OT Security News 
You must be logged in to post a comment.