Эксперты The Shadowserver Foundation выявили новую серьезную угрозу кибербезопасности — активный ботнет, использующий ранее неизвестную уязвимость в устаревших устройствах GeoVision. Вредоносная сеть эксплуатирует критический баг для проведения DDoS-атак и несанкционированного майнинга криптовалюты.
Детали уязвимости CVE-2024-11120
Обнаруженная уязвимость получила идентификатор CVE-2024-11120 и максимальную оценку опасности 9,8 баллов по шкале CVSS. Критический недостаток связан с возможностью инъекции команд, что позволяет злоумышленникам без аутентификации выполнять произвольный код на уязвимых устройствах. Тайваньский CERT подтверждает активную эксплуатацию уязвимости хакерскими группировками.
Масштаб угрозы и географическое распространение
По данным исследования, в настоящее время в сети обнаружено около 17 000 уязвимых устройств GeoVision. Географическое распределение затронутых устройств выглядит следующим образом:
— США: 9100 устройств
— Германия: 1600 устройств
— Канада и Тайвань: по 800 устройств
— Япония: 350 устройств
— Испания: 300 устройств
— Франция: 250 устройств
Технические аспекты атаки
Исследователи отмечают, что обнаруженный ботнет использует модифицированную версию известного вредоносного ПО Mirai. Данная малварь традиционно применяется для создания масштабных DDoS-платформ и организации нелегального майнинга криптовалют. Особую опасность представляет тот факт, что атакованные устройства относятся к устаревшим моделям, которые больше не поддерживаются производителем, что исключает возможность выпуска патчей безопасности.
В связи с отсутствием перспектив исправления уязвимости, специалисты по кибербезопасности настоятельно рекомендуют владельцам устаревших устройств GeoVision рассмотреть возможность их замены на современные модели с актуальной поддержкой безопасности. Также критически важно изолировать уязвимые устройства от прямого доступа из интернета и использовать дополнительные средства защиты, такие как файрволы и системы обнаружения вторжений.
