Эксперты по кибербезопасности обнаружили новую волну атак, направленных на устаревшие IP-камеры AVTECH. Ботнет Corona, являющийся вариацией печально известного Mirai, использует критическую уязвимость нулевого дня для компрометации этих устройств. Данная ситуация подчеркивает растущую угрозу для устаревших IoT-устройств и необходимость постоянного обновления систем безопасности.
Анатомия уязвимости CVE-2024-7029
Уязвимость, обнаруженная специалистами Akamai, получила идентификатор CVE-2024-7029 и оценку 8,7 баллов по шкале CVSS, что указывает на ее критическую опасность. Проблема связана с функцией «Яркость» в IP-камерах AVTECH AVM1203 и позволяет неавторизованным злоумышленникам осуществлять удаленное выполнение кода (RCE) через специально сформированные запросы.
Особую тревогу вызывает тот факт, что уязвимые устройства уже сняты с производства, а срок их поддержки истек в 2019 году. Это означает, что официальных патчей для устранения уязвимости не будет, оставляя пользователей в уязвимом положении.
Распространение ботнета Corona
Исследователи Akamai зафиксировали активное использование уязвимости CVE-2024-7029 ботнетом Corona начиная с 18 марта 2024 года. Атаки направлены на компрометацию уязвимых IP-камер AVM1203 и включение их в ботнет для последующего использования в DDoS-атаках.
Процесс атаки включает следующие этапы:
- Эксплуатация уязвимости CVE-2024-7029
- Загрузка и выполнение вредоносного JavaScript-файла
- Установка основной полезной нагрузки ботнета
- Подключение к управляющим серверам для получения дальнейших инструкций
Широкое распространение уязвимых устройств
Согласно данным Агентства по кибербезопасности и защите инфраструктуры США (CISA), уязвимые камеры AVTECH AVM1203 все еще широко используются в различных секторах, включая:
- Коммерческие объекты
- Финансовые организации
- Учреждения здравоохранения
- Транспортные системы
Это значительно расширяет потенциальную поверхность атаки и увеличивает риски для критической инфраструктуры.
Рекомендации по защите
В связи с отсутствием официальных патчей, единственным надежным способом защиты от эксплуатации уязвимости CVE-2024-7029 является полное отключение и замена устаревших IP-камер AVTECH AVM1203 на современные, поддерживаемые устройства с регулярными обновлениями безопасности.
Данный инцидент служит напоминанием о важности регулярного аудита и обновления IoT-устройств в корпоративных и домашних сетях. Организациям следует внедрить строгие политики управления жизненным циклом устройств, чтобы своевременно выявлять и заменять устаревшее оборудование, представляющее угрозу безопасности. Только комплексный подход к кибербезопасности IoT может обеспечить надежную защиту от постоянно эволюционирующих угроз в современном цифровом ландшафте.
