Эксперты компании Qualys выявили новую серьезную угрозу в сфере IoT-безопасности — ботнет Murdoc, базирующийся на печально известной малвари Mirai. С момента своего появления в июле 2024 года вредоносная сеть успела скомпрометировать более 1370 устройств, преимущественно в странах Юго-Восточной Азии и Латинской Америки.
Механизм атаки и распространение угрозы
Ботнет Murdoc использует комбинацию уязвимостей, включая недавно обнаруженную CVE-2024-7029 в IP-камерах Avtech и ранее известную CVE-2017-17215 в маршрутизаторах Huawei HG532. После успешной эксплуатации этих уязвимостей происходит многоступенчатая загрузка вредоносного ПО, адаптированного под конкретную архитектуру атакуемого устройства.
Масштаб потенциальной угрозы
Согласно данным платформы Censys, в настоящее время в сети находится более 37 995 уязвимых камер Avtech. Наибольшая концентрация уязвимых устройств зафиксирована в Тайване, Вьетнаме, Индонезии, США и Шри-Ланке. Для управления скомпрометированными устройствами злоумышленники задействовали обширную инфраструктуру из более чем 100 командных серверов.
Особенности уязвимости CVE-2024-7029
Критическая уязвимость CVE-2024-7029 затрагивает функцию настройки яркости в IP-камерах Avtech AVM1203. Она позволяет злоумышленникам без аутентификации выполнять произвольные команды через специально сформированные запросы. Особую опасность представляет отсутствие патчей — производитель прекратил поддержку устройств, срок эксплуатации которых истек еще в 2019 году.
Основной целью операторов ботнета является организация масштабных DDoS-атак, что соответствует типичному сценарию использования Mirai-подобных ботнетов. Ситуация подчеркивает критическую важность своевременного обновления прошивок IoT-устройств и вывода из эксплуатации оборудования с истекшим сроком поддержки. Организациям и частным пользователям рекомендуется провести аудит используемых устройств и принять необходимые меры по минимизации рисков компрометации.
