Corona Mirai ベースのマルウェアボットネットは、AVTECH IP カメラの 5 年前のリモートコード実行(RCE)ゼロデイを利用して広がっています。
アカマイの Aline Eliovich が発見したこの欠陥は、CVE-2024-7029 として追跡されており、カメラの「明るさ」機能に存在する深刻度の高い(CVSS v4 スコア:8.7)問題で、認証されていない攻撃者が特別に細工したリクエストを使用してネットワーク経由でコマンドを注入することを可能にします。
具体的には、AVTECH社製カメラのファームウェアの “action=”パラメータの “brightness “引数に、カメラの明るさをリモートで調整できるようにするための脆弱性があります。
この欠陥は、Fullmg-1023-1007-1011-1009までのファームウェアバージョンで動作するすべてのAVTECH AVM1203 IPカメラに影響します。
影響を受けるモデルは2019年に製造終了(EoL)を迎え、台湾ベンダーによるサポートが終了しているため、CVE-2024-7029に対応するパッチは提供されておらず、修正プログラムのリリースも予定されていない。
米サイバーセキュリティ・インフラストラクチャ・セキュリティ局は今月初め、CVE-2024-7029と公開エクスプロイトの利用可能性について警告するアドバイザリーを発表し、商業施設、金融サービス、医療・公衆衛生、輸送システムなどで現在もカメラが使用されていると警告した。
この特定の欠陥に対する概念実証(PoC)エクスプロイトは少なくとも2019年から利用可能だったが、CVEが割り当てられたのは今月に入ってからで、それまではアクティブなエクスプロイトは観測されていなかった。
現在進行中の悪用
Corona は Mirai ベースの亜種で、少なくとも 2020 年以降に登場し、IoT デバイスのさまざまな脆弱性を悪用して増殖しています。
アカマイの SIRTチームによると、2024年3月18日から Corona は CVE-2024-7029 を悪用した攻撃を開始し、5年前に EoL に達しているにもかかわらず、現在も稼働中の AVM1203 カメラを標的としています。
私たちが観測した最初のアクティブなキャンペーンは2024年3月18日に始まりましたが、分析によると、この亜種の活動は2023年12月には始まっていました。CVE-2024-7029の概念実証(PoC)は少なくとも2019年2月から公開されているが、2024年8月まで適切なCVEが割り当てられることはなかった。
アカマイのハニーポットで捕捉された Corona 攻撃は、CVE-2024-7029 を悪用して JavaScript ファイルをダウンロードおよび実行し、その結果、主要なボットネットのペイロードがデバイス上にロードされます。
デバイスにネストされると、マルウェアはコマンド&コントロール(C2)サーバーに接続し、分散型サービス妨害(DDoS)攻撃の実行指示を待ちます。
アカマイの分析によると、Corona が標的とするその他の欠陥は以下の通りです:
- CVE-2017-17215:ファーウェイのルーターに脆弱性が存在し、UPnP サービスにおける不適切な検証を悪用することで、リモートの攻撃者が影響を受けるデバイス上で任意のコマンドを実行する可能性があります。
- CVE-2014-8361:コンシューマ向けルーターに多く見られる Realtek SDK におけるリモートコード実行 (RCE) の脆弱性です。この欠陥は、これらのルーター上で実行されている HTTP サービスを通じて悪用される可能性があります。
- Hadoop YARN RCE:Hadoop YARN(Yet Another Resource Negotiator)リソース管理システム内の脆弱性で、この脆弱性を悪用すると、Hadoopクラスタ上でリモートからコードを実行される可能性があります。
AVTECH AVM1203 IP カメラのユーザーは、直ちにオフラインにし、サポートが有効な新しいモデルに交換することを推奨します。
IP カメラは一般的にインターネットに公開されているため、脅威者にとって魅力的なターゲットとなるため、既知のバグが修正されていることを確認するために、常に最新のファームウェア・バージョンを実行する必要があります。デバイスが製造中止となった場合は、セキュリティ・アップデートを受け続けるために新しいモデルに交換すべきである。
さらに、デフォルトの認証情報を強固でユニークなパスワードに変更し、重要なネットワークや本番用ネットワークから切り離すべきである。
Comments