マルウェアのボットネットが、使用済み GeoVision デバイスのゼロデイ脆弱性を悪用し、DDoS 攻撃やクリプトマイニング攻撃を仕掛けている。
この脆弱性はCVE-2024-11120として追跡されており、The Shadowserver FoundationのPiort Kijewski氏によって発見された。この問題は、OSコマンドインジェクションの重大度(CVSS v3.1スコア:9.8)であり、認証されていない攻撃者がデバイス上で任意のシステムコマンドを実行することを可能にします。
「未認証のリモート攻撃者は、この脆弱性を悪用して、デバイス上で任意のシステムコマンドを注入し、実行することができます」と台湾のCERTは警告している。
「さらに、この脆弱性はすでに攻撃者によって悪用されており、関連する報告も受けている。
TWCERTによると、この脆弱性は以下のデバイスモデルに影響を与える:
- GV-VS12:アナログビデオ信号をネットワーク伝送用のデジタルストリームに変換する2チャンネルH.264ビデオサーバー。
- GV-VS11:ネットワークストリーミング用にアナログビデオをデジタル化するように設計された1チャンネルのビデオサーバー。
- GV-DSP LPR V3: ナンバープレート認識(LPR)に特化したLinuxベースのシステム。
- GV-LX4C V2 / GV-LX4C V3:モバイル監視用に設計された小型デジタルビデオレコーダー(DVR)。
これらのモデルはすべて寿命が尽き、ベンダーによるサポートが終了しているため、セキュリティ・アップデートは期待できない。
脅威監視プラットフォームThe Shadowserver Foundationによると、約17,000台のGeoVisionデバイスがオンライン上に公開されており、CVE-2024-11120の脆弱性があるという。
Kijewski氏は、ボットネットは通常DDoSプラットフォームの一部として、またはクリプトマイニングを実行するために使用されるMiraiの亜種のようだと述べた。
暴露されたデバイスの大部分(9,100台)は米国を拠点としており、ドイツ(1,600台)、カナダ(800台)、台湾(800台)、日本(350台)、スペイン(300台)、フランス(250台)と続いている。
一般に、ボットネット侵害の兆候としては、デバイスが過度に加熱したり、動作が遅くなったり、応答しなくなったり、設定が任意に変更されたりすることが挙げられます。
これらの症状に気づいたら、デバイスのリセットを実行し、デフォルトの管理者パスワードを強力なものに変更し、リモート・アクセス・パネルをオフにし、デバイスをファイアウォールの背後に置きます。
理想的には、これらのデバイスはアクティブにサポートされているモデルと交換されるべきですが、それが不可能な場合は、専用のLANまたはサブネット上に隔離し、綿密に監視する必要があります。
Comments