Unpatched Edimax Camera Flaw Exploited for Mirai Botnet Attacks Since Last Year
2025/03/17 TheHackerNews — Edimax IC-7100 ネットワーク・カメラに存在する、未修正のセキュリティ上の脆弱性が、Mirat ボットネット・マルウェアの亜種を配信するために、遅くとも 2024年5月以降に、脅威アクターたちにより悪用されている。この脆弱性 CVE-2025-1316 (CVSS v4:9.3) は、深刻な OS コマンド・インジェクションの欠陥であり、それを悪用する攻撃者は、特別に細工されたリクエストにより、影響を受けやすいデバイス上でのリモート・コード実行の可能性を手にする。
セキュリティ企業 Akamai によると、この脆弱性を狙った最初のエクスプロイトの試みは、2024年5月に遡ることになるが、PoC エクスプロイトに関しては、2023年6月から公開されているという。
Akamai の研究者である Kyle Lefton と Larry Cashdollar は、「このエクスプロイトは、Edimax デバイスの “/camera-cgi/admin/param.cgi” エンドポイントをターゲットにするものであり、”param.cgi” の “ipcamSource” オプションの一部として、NTP_serverName オプションにコマンドを挿入する」と述べている。
このエンドポイントを武器化する前提として、認証が必要になるが、今回のエクスプロイト試行では、デフォルトの認証情報 (admin:1234) を介した不正アクセスの取得が判明している。
現時点で確認されているのは、少なくとも2種類の Mirai ボットネット亜種が、この脆弱性を悪用していることである。また、そのうちの1つは、異なるアーキテクチャのマルウェアを取得するシェル・スクリプトを実行する前に、アンチデバッグ機能も実行している。
これらのキャンペーンの最終目標は、組織化されたネットワークに感染させたデバイスを取り込み、ターゲットに対する分散型サービス拒否 (DDoS) 攻撃を、TCP/UDP プロトコルを介して仕掛けるところにある。
さらに、このボットネットは、TOTOLINK IoT デバイスに存在する CVE-2024-7214 と、Hadoop YARN の CVE-2021-36220 も、悪用していることが確認されている。
先週に公開された Edimax のアドバイザリには、「脆弱性 CVE-2025-1316 は、いまでは積極的にサポートされていない、レガシー・デバイスに影響を与えるものである。このモデルは、10年以上も前に廃止されているため、セキュリティ・パッチを提供する予定はない」と記されている。
このように、公式パッチが存在しないことが判明している。したがって、ユーザーに強く推奨されるのは、新しいモデルへのアップグレードとなる。もし、いまのデバイスを使い続けるなら、インターネットへの露出を停止し、デフォルトの管理者パスワードを変更し、異常なアクティビティの兆候について、アクセス・ログを監視する必要がある。
Akamai は、「サイバー犯罪者が、ボットネットの構築を始める際に、最も効果的な方法の1つとして挙げられるのは、古いデバイスのセキュリティが不十分でファームウェアをターゲットにすることだ。Mirai マルウェア・ベースのボットネットの拡散は、止まる気配がない。つまり、Mirai の遺産は、いまも世界中の組織を悩ませ続けている。あらゆる種類のチュートリアルやソース コードが無料で利用できるようになり、その上に AI による支援も重なり、ボットネットの構築は、さらに容易になっている」と述べている。
Edimax Camera の脆弱性の悪用が確認されていますが、該当の製品は EoL のためパッチが未適用とのことです。ご利用のチームは、Edimax のアドバイザリを、ご確認ください。また、関連するトピックとして、2025/03/06 に「Akira ランサムウェアの検出回避術が判明:ネットワーク上の Web カメラを使って EDR をバイパス」という記事をポストしています。よろしければ、Botnet で検索と併せて、ご参照下さい。
IoT OT Security News 
You must be logged in to post a comment.