未修补的 AVTECH IP 摄像头漏洞遭黑客利用，发起僵尸网络攻击

影响 AVTECH IP 摄像机的一个多年前的高严重性漏洞已被恶意行为者用作零日漏洞，以将其引入僵尸网络。

Akamai 研究人员 Kyle Lefton、Larry Cashdollar 和 Aline Eliovich 表示，有问题的漏洞 CVE-2024-7029（CVSS 评分：8.7）是“在 AVTECH 闭路电视 (CCTV) 摄像机的亮度功能中发现的命令注入漏洞，允许远程代码执行 (RCE)。”

美国网络安全和基础设施安全局 (CISA) 本月早些时候首次公开了该安全漏洞的详细信息，强调其攻击复杂性低且可远程利用。

该机构在 2024 年 8 月 1 日发布的警报中指出： “成功利用此漏洞可能允许攻击者以正在运行的进程所有者的身份注入和执行命令。”

值得注意的是，该问题仍未得到修复。它影响使用 FullImg-1023-1007-1011-1009 及更高版本固件的 AVM1203 摄像头设备。根据 CISA 的说法，这些设备虽然已停产，但仍在商业设施、金融服务、医疗保健和公共卫生、交通系统领域使用。

Akamai 表示，攻击活动自 2024 年 3 月开始，尽管该漏洞早在 2019 年 2 月就有一个公开的概念验证 (PoC) 利用。然而，直到本月才发布 CVE 标识符。

“运营这些僵尸网络的恶意行为者一直在利用新的或未被发现的漏洞来传播恶意软件，”这家网络基础设施公司表示。“许多漏洞都有公开的漏洞利用或可用的 PoC，但缺乏正式的 CVE 分配，在某些情况下，设备仍未打补丁。”

Lefton 告诉 The Hacker News，目前尚无关于这些攻击范​​围的数据，尽管估计有 27,000 台 AVTech 设备暴露在互联网上。不过，该公司表示，它拥有明确的归因信息，打算在未来披露。

攻击链相当简单，它们利用 AVTECH IP 摄像头漏洞以及其他已知漏洞（CVE-2014-8361和CVE-2017-17215 ）在目标系统上传播Mirai 僵尸网络变体。

研究人员表示：“在这种情况下，僵尸网络很可能使用的是 Corona Mirai 变种，早在 2020 年，其他供应商就曾提到过该变种与 COVID-19 病毒有关。”“执行后，恶意软件会通过端口 23、2323 和 37215 上的 Telnet 连接到大量主机。它还会将字符串‘Corona’打印到受感染主机的控制台上。”

几周前，网络安全公司 Sekoia 和 Team Cymru 详细介绍了一个名为 7777（或 Quad7）的“神秘”僵尸网络，该网络利用受感染的 TP-Link 和 ASUS 路由器对 Microsoft 365 帐户发起密码喷洒攻击。截至 2024 年 8 月 5 日，已发现多达 12,783 个活跃机器人。

Sekoia 的研究人员表示：“该僵尸网络在开源中以在受感染的设备上部署 SOCKS5 代理来对全球许多实体的 Microsoft 365 帐户进行极其缓慢的‘暴力’攻击而闻名”，并指出大多数受感染的路由器位于保加利亚、俄罗斯、美国和乌克兰。

虽然该僵尸网络因其在受感染设备上打开 TCP 端口 7777 而得名，但 Team Cymru 的后续调查显示，该网络可能扩展，包括第二组僵尸网络，主要由华硕路由器组成，其特点是开放端口 63256。

“Quad7 僵尸网络继续构成重大威胁，即使其潜力目前未知或尚未发挥，也表现出韧性和适应性，”Team Cymru表示。“7777 和 63256 僵尸网络之间的联系，在保持看似独特的运营孤岛的同时，进一步凸显了 Quad7 背后威胁运营商不断演变的策略。”