Videocamere di sorveglianza compromesse da una falla zero-day sfruttata per installare Mirai

Videocamere di sorveglianza compromesse da una falla zero-day sfruttata per installare Mirai

Una videocamera di sorveglianza, ormai non più supportata, di un produttore taiwanese ha una falla zero-day che viene attivamente sfruttata per installare il malware Mirai e assoldare i dispositivi all'interno di una botnet

di pubblicata il , alle 09:43 nel canale Sicurezza
 

Una vulnerabilità critica in un modello di telecamera di sicurezza largamente diffusa sta venendo sfruttata da criminali informatici per diffondere Mirai, il noto malware che infetta dispositivi Internet of Things (IoT) ed assoldarli all'interno di vastissime botnet. Queste reti di dispositivi compromessi vengono poi utilizzate per lanciare devastanti attacchi Distributed Denial of Service (DDoS) contro siti web e altre infrastrutture connesse a Internet.

E' Akamai a diffondere l'allarme, spiegando come l'obiettivo degli attacchi sia il modello di telecamera AVM1203 della taiwanese AVTECH. La videocamera è affetta dalla vulnerabilità CVE-2024-7029, presente da almeno 5 anni ma scoperta solo di recente, e per la quale la CISA degli Stati Uniti aveva emesso un'avviso all'inizio di questo mese. E' una falla 0-day, ovvero una vulnerabilità non nota al produttore e per la quale non esiste ancora una patch di sicurezza.


La videocamera AVTECH AVM1203

E probabilmente una patch di sicurezza non esisterà mai: il modello AVM1203 non è più in vendita né supportato da AVTECH, riducendo drasticamente le possibilità che il problema possa essere preso in carico e risolto, e lasciando i possessori di questi dispositivi esposti alla minaccia.

Akamai è riuscita a rilevare l'attività utilizzando un "honeypot" di dispositivi che imitano le telecamere vulnerabili, consentendo ai ricercatori di catturare e analizzare il codice utilizzato per compromettere i dispositivi.

Kyle Lefton, ricercatore del Security Intelligence and Response Team di Akamai, ha osservato che gli autori degli attacchi stanno sfruttando la vulnerabilità almeno da marzo per lanciare attacchi DDoS contro "varie organizzazioni", senza tuttavia fornire dettagli specifici sugli obiettivi. Al momento, non ci sono indicazioni che gli hacker stiano utilizzando le telecamere infette per accedere ai feed video o per altri scopi oltre agli attacchi DDoS.

La vulnerabilità risiede specificamente nell'"argomento luminosità nel parametro 'action='" e permette l'iniezione di comandi arbitrari nel sistema. Questo tipo di falla è particolarmente pericoloso poiché consente agli attaccanti di eseguire codice malevolo sui dispositivi compromessi con relativa facilità.

La diffusione di Mirai attraverso questa nuova vulnerabilità riporta alla mente gli attacchi del settembre 2016, quando una vasta botnet di dispositivi infetti riuscì a mettere fuori uso il sito di notizie sulla sicurezza informatica Krebs on Security. Nelle settimane successive, Mirai fu responsabile di numerosi altri attacchi di portata simile, tra cui uno particolarmente devastante contro il provider di nomi di dominio dinamici Dyn, che paralizzò vaste aree di Internet.

La situazione fu ulteriormente complicata dal rilascio pubblico del codice sorgente di Mirai da parte dei suoi creatori, permettendo virtualmente a chiunque di creare le proprie botnet capaci di lanciare attacchi DDoS di dimensioni precedentemente inimmaginabili.

Data la mancanza di supporto per il modello AVM1203, il consiglio, per coloro si trovasse ad utilizzare questo dispositivo, è la sostituzione immediata con una telecamera più recente e supportata. Inoltre vale sempre la precauzione di evitare di lasciare dispositivi IoT accessibili tramite le credenziali di accesso predefinite, poiché il rischio di compromissione aumenta esponenzialmente.

0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^