В начале апреля 2025 года команда Akamai Security Intelligence and Response Team (SIRT) обнаружила масштабную кампанию, направленную на эксплуатацию критических уязвимостей в устройствах GeoVision и Samsung MagicINFO. Злоумышленники используют обнаруженные бреши для развертывания модифицированной версии известного ботнета Mirai.
Специалисты Akamai выявили две критические уязвимости в устаревших IoT-устройствах GeoVision: CVE-2024-6047 и CVE-2024-11120, обе с максимально высоким рейтингом опасности CVSS 9.8. Эти уязвимости позволяют осуществлять инъекцию команд операционной системы. Как отмечает исследователь безопасности Akamai Кайл Лефтон, атакующие эксплуатируют конечную точку /DateSetting.cgi, внедряя вредоносные команды через параметр szSrvIpAddr.
В результате успешной атаки на устройства GeoVision загружается ARM-версия вредоносного ПО Mirai, получившая название "LZRD". Особую обеспокоенность вызывает тот факт, что производитель, вероятно, не выпустит обновления безопасности, поскольку атакуемые устройства находятся в статусе "end-of-life" (окончание поддержки).
Помимо уязвимостей в GeoVision, ботнет также активно эксплуатирует другие известные бреши в безопасности: уязвимость в Hadoop YARN, CVE-2018-10561 и недавно обнаруженную в декабре 2024 года проблему, затрагивающую системы DigiEver. Эксперты отмечают, что текущая кампания имеет признаки, схожие с ранее задокументированной активностью группировки "InfectedSlurs".
Параллельно с атаками на GeoVision, специалисты Arctic Wolf и SANS Technology Institute предупредили о критической уязвимости CVE-2024-7399 (CVSS 8.8) в Samsung MagicINFO 9 Server. Эта брешь в безопасности позволяет злоумышленникам осуществлять атаки типа "path traversal", записывая произвольные файлы с системными привилегиями. Особенно опасно, что данная уязвимость может привести к удаленному выполнению кода через специально созданные файлы JavaServer Pages (JSP).
Для защиты от эксплуатации уязвимости в Samsung MagicINFO специалисты настоятельно рекомендуют обновить программное обеспечение до версии 21.1050 или более новой. Это критически важно, поскольку успешная атака может привести к полной компрометации системы и дальнейшему распространению вредоносного ПО в корпоративной сети.
Владельцам устройств GeoVision, учитывая окончание официальной поддержки, рекомендуется рассмотреть возможность перехода на более новые модели с актуальными обновлениями безопасности. В случае невозможности замены устройств, специалисты советуют изолировать эти устройства от сети интернет и внедрить дополнительные меры защиты на сетевом уровне.
Данная кампания демонстрирует растущую тенденцию среди киберпреступников к эксплуатации уязвимостей в IoT-устройствах и серверных решениях для создания масштабных ботнетов, которые впоследствии могут использоваться для проведения DDoS-атак и других вредоносных действий.
Изображение носит иллюстративный характер
Специалисты Akamai выявили две критические уязвимости в устаревших IoT-устройствах GeoVision: CVE-2024-6047 и CVE-2024-11120, обе с максимально высоким рейтингом опасности CVSS 9.8. Эти уязвимости позволяют осуществлять инъекцию команд операционной системы. Как отмечает исследователь безопасности Akamai Кайл Лефтон, атакующие эксплуатируют конечную точку /DateSetting.cgi, внедряя вредоносные команды через параметр szSrvIpAddr.
В результате успешной атаки на устройства GeoVision загружается ARM-версия вредоносного ПО Mirai, получившая название "LZRD". Особую обеспокоенность вызывает тот факт, что производитель, вероятно, не выпустит обновления безопасности, поскольку атакуемые устройства находятся в статусе "end-of-life" (окончание поддержки).
Помимо уязвимостей в GeoVision, ботнет также активно эксплуатирует другие известные бреши в безопасности: уязвимость в Hadoop YARN, CVE-2018-10561 и недавно обнаруженную в декабре 2024 года проблему, затрагивающую системы DigiEver. Эксперты отмечают, что текущая кампания имеет признаки, схожие с ранее задокументированной активностью группировки "InfectedSlurs".
Параллельно с атаками на GeoVision, специалисты Arctic Wolf и SANS Technology Institute предупредили о критической уязвимости CVE-2024-7399 (CVSS 8.8) в Samsung MagicINFO 9 Server. Эта брешь в безопасности позволяет злоумышленникам осуществлять атаки типа "path traversal", записывая произвольные файлы с системными привилегиями. Особенно опасно, что данная уязвимость может привести к удаленному выполнению кода через специально созданные файлы JavaServer Pages (JSP).
Для защиты от эксплуатации уязвимости в Samsung MagicINFO специалисты настоятельно рекомендуют обновить программное обеспечение до версии 21.1050 или более новой. Это критически важно, поскольку успешная атака может привести к полной компрометации системы и дальнейшему распространению вредоносного ПО в корпоративной сети.
Владельцам устройств GeoVision, учитывая окончание официальной поддержки, рекомендуется рассмотреть возможность перехода на более новые модели с актуальными обновлениями безопасности. В случае невозможности замены устройств, специалисты советуют изолировать эти устройства от сети интернет и внедрить дополнительные меры защиты на сетевом уровне.
Данная кампания демонстрирует растущую тенденцию среди киберпреступников к эксплуатации уязвимостей в IoT-устройствах и серверных решениях для создания масштабных ботнетов, которые впоследствии могут использоваться для проведения DDoS-атак и других вредоносных действий.