Експерти з кібербезпеки The Shadowserver Foundation виявили критичну вразливість в застарілих пристроях GeoVision, яка активно експлуатується зловмисниками для створення потужного ботнету. Загроза становить особливу небезпеку через можливість віддаленого виконання коду без автентифікації та використання скомпрометованих пристроїв для проведення DDoS-атак і несанкціонованого майнінгу криптовалют.
Аналіз критичної вразливості CVE-2024-11120
Виявлена вразливість отримала ідентифікатор CVE-2024-11120 та максимальну оцінку небезпеки 9,8 балів за шкалою CVSS. Технічний аналіз показує, що недолік пов’язаний з можливістю ін’єкції команд, що дозволяє зловмисникам отримати повний контроль над вразливими пристроями. Тайванський CERT підтвердив активну експлуатацію вразливості хакерськими угрупованнями, що значно підвищує рівень загрози.
Географічний масштаб та поширення загрози
За результатами дослідження, вразливими виявилися близько 17 000 пристроїв GeoVision по всьому світу. Найбільша концентрація скомпрометованих пристроїв спостерігається в США (9100), Німеччині (1600), Канаді та Тайвані (по 800). Значна кількість вразливих пристроїв також зафіксована в Японії (350), Іспанії (300) та Франції (250).
Технічні особливості та механізм атаки
Дослідники встановили, що виявлений ботнет базується на модифікованій версії відомого шкідливого програмного забезпечення Mirai. Зловмисники адаптували малвар для експлуатації нововиявленої вразливості, що дозволяє їм створювати потужну інфраструктуру для DDoS-атак та нелегального майнінгу криптовалют. Особливу стурбованість викликає той факт, що атаковані пристрої належать до застарілих моделей, які вже не підтримуються виробником.
Враховуючи неможливість випуску оновлень безпеки для вразливих пристроїв, фахівці з кібербезпеки наполегливо рекомендують вжити негайних заходів захисту. Власникам застарілих пристроїв GeoVision слід розглянути можливість їх заміни на сучасні моделі з актуальною підтримкою безпеки. У разі неможливості швидкої заміни, критично важливо ізолювати вразливі пристрої від прямого доступу з інтернету та впровадити додаткові засоби захисту, включаючи міжмережеві екрани та системи виявлення вторгнень. Такі превентивні заходи допоможуть мінімізувати ризики компрометації та захистити мережеву інфраструктуру від потенційних атак.
