Akamai hat entdeckt, dass das Corona Mirai Botnet Überwachungskameras infiziert. Ein Angreifer kann damit Remote-Code ausführen.Akamai has discovered that the Corona Mirai botnet is infecting CCTV cameras. An attacker can execute remote code on a target system.
Das Akamai Security Intelligence and Response Team (SIRT) hat eine Botnet-Kampagne beobachtet, die Überwachungskameras angreift. Sie attackiert mehrere bereits ausgenutzte Schwachstellen sowie eine von SIRT neu entdeckte Zero-Day-Schwachstelle.

CVE-2024-7029 ist eine Remote Code Execution (RCE)-Injektionsanfälligkeit, die in der Helligkeitsfunktion von AVTECH CCTV-Kameras (Closed Circuit Television) gefunden wurde.

Nach der Injektion verbreitet das Botnetz eine Mirai-Variante mit Stringnamen, die auf den Virus COVID-19 verweisen, der seit mindestens 2020 bekannt ist.

Diese Zero-Day-RCE-Schwachstelle wurde in der Helligkeitsfunktion von AVTECH IP-Kamerageräten entdeckt und ermöglicht die Befehlsinjektion zur Verbreitung einer Mirai-Variante auf einem Zielsystem. Im August 2024 gab die CISA eine Empfehlung für industrielle Kontrollsysteme (Industrial Control Systems, ICS) zu dieser Schwachstelle heraus und wies auf die mangelnde Komplexität des Angriffs, die Möglichkeit der Fernausnutzung und die bekannte öffentliche Ausnutzung hin.

Die Botnet-Kampagne zielt auf mehrere andere Schwachstellen als CVE-2024-7029 ab, darunter mehrere AVTECH-Schwachstellen, eine Hadoop YARN RCE, CVE-2014-8361 und CVE-2017-17215, und folgt damit einem beunruhigenden Trend, bei dem Angreifer ältere, wahrscheinlich nicht priorisierte Schwachstellen, die nicht gepatcht wurden, für böswillige Zwecke ausnutzen.

Was ist CVE-2024-7029?

Kurz gesagt handelt es sich bei CVE-2024-7029 um eine Schwachstelle in AVTECH IP-Kameras, bei der das Argument „brightness“ im Parameter „action=“ die Injektion von Befehlen ermöglicht. Der von uns beobachtete Bedrohungsakteur hat diese Schwachstelle ausgenutzt, um eine Mirai-Variante zu verbreiten, deren Stringnamen auf den Virus COVID-19 verweisen.

Seit wann ist der Virus aktiv?

Die erste aktive Kampagne, die von SIRT beobachtet wurde, begann am 18. März 2024, aber die Analyse ergab, dass diese Variante bereits im Dezember 2023 aktiv war. Der Proof of Concept (PoC) für CVE-2024-7029 ist seit mindestens 2019 öffentlich verfügbar, erhielt aber erst im August 2024 eine echte CVE-Zuweisung.

Wer ist betroffen?

Diese Schwachstelle in AVTECH IP-Kamerageräten betrifft die Firmware-Versionen FullImg-1023-1007-1011-1009 bis einschließlich AVM1203. Obwohl das betroffene Modell seit mehreren Jahren nicht mehr hergestellt wird, weist die CISA in ihrem Advisory darauf hin, dass diese Geräte immer noch weltweit im Einsatz sind, unter anderem bei Verkehrsbehörden und anderen kritischen Infrastrukturen.

Schlussfolgerung

Eine Schwachstelle ohne formale CVE-Zuweisung kann immer noch eine Bedrohung für Ihr Unternehmen darstellen – und zwar eine erhebliche Bedrohung. Böswillige Akteure, die diese Botnetze betreiben, haben neue oder unbemerkte Schwachstellen ausgenutzt, um Malware zu verbreiten. CVE-2024-7029 ist ein weiteres Beispiel dafür und ein zunehmend beliebter Angriffstrend, der von SIRT beobachtet wird.

Es gibt viele Schwachstellen mit öffentlichen Exploits oder verfügbaren PoCs, die keine formale CVE-Zuweisung haben, und in einigen Fällen bleiben Geräte ungepatcht. Die Verwaltung von Patch-Prioritäten ist mühsam, insbesondere wenn für Bedrohungen kein Patch verfügbar ist. Wenn es keine Möglichkeit gibt, eine Bedrohung zu beheben, ist die Stilllegung der Hard- und Software der empfohlene Weg, um das Sicherheitsrisiko und das Risiko von Bußgeldern zu verringern.

The Akamai Security Intelligence and Response Team (SIRT) observed a botnet campaign that is exploiting several previously exploited vulnerabilities, as well as a zero-day vulnerability discovered by SIRT.

CVE-2024-7029 is a remote code execution (RCE) command injection vulnerability found in the brightness function of AVTECH closed circuit television (CCTV) cameras.

Once injected, the botnet spreads a Mirai variant with string names that reference the COVID-19 virus, which has been seen since at least 2020.

This zero-day RCE vulnerability was discovered in the brightness function of AVTECH IP camera devices and allows command injection to propagate a Mirai variant on a target system. In August 2024, CISA issued an Industrial Control System (ICS) advisory for this vulnerability, citing lack of attack complexity, remote exploitation, and known public exploitation.

The botnet campaign is targeting multiple vulnerabilities outside of CVE-2024-7029, including several AVTECH vulnerabilities, a Hadoop YARN RCE, CVE-2014-8361, and CVE-2017-17215. This follows a troubling trend of attackers exploiting older, likely low-priority vulnerabilities that remain unpatched for malicious purposes.

What is CVE-2024-7029?

In short, CVE-2024-7029 is a vulnerability in AVTECH IP camera devices where the „brightness“ argument in the „action=“ parameter allows for command injection. The threat actor we observed used this vulnerability to distribute a Mirai variant with string names referencing the COVID-19 virus.

How long has it been active?

The first active campaign observed by SIRT began on March 18, 2024, but analysis showed activity for this variant as early as December 2023. The proof of concept (PoC) for CVE-2024-7029 has been publicly available since at least 2019, but it did not receive a proper CVE assignment until August 2024.

Who is affected?

This vulnerability in AVTECH IP camera devices affects up to and including AVM1203 firmware versions FullImg-1023-1007-1011-1009. Although the model in question has been discontinued for several years, CISA noted in its advisory that these devices are still in use worldwide, including by transportation agencies and other critical infrastructure entities.

Conclusion

A vulnerability without a formal CVE assignment can still pose a threat to your organization – in fact, it can be a significant threat. Malicious actors operating these botnets have used new or under-the-radar vulnerabilities to spread malware. CVE-2024-7029 is another example of the latter, which is becoming an increasingly popular attack trend observed by SIRT.

There are many vulnerabilities with public exploits or available PoCs that lack a formal CVE assignment, and in some cases, devices remain unpatched. Managing patch priorities is tedious, especially when the threats have no available patch. If there is no way to remediate a threat, retiring the hardware and software is the recommended way to mitigate security risks and reduce the risk of regulatory fines.

Arne Lehfeldt, Systems Engineer und CTO Ambassador bei Dell Technologies, erklärt im Podcast Security, Storage und Channel Germany mit Carolina Heyder, warum Unternehmen keine Angst vor KI haben sollten.Arne Lehfeldt, Systems Engineer and CTO Ambassador at Dell Technologies, explains why companies shouldn’t be afraid of AI in the Security, Storage and Channel Germany podcast with Carolina Heyder.

Von Jakob Jung

Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM. Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM. Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

WordPress Cookie Hinweis von Real Cookie Banner