Una vecchia vulnerabilità nelle telecamere AVTECH è stata sfruttata per attacchi botnet

Una grave vulnerabilità che affligge da anni le telecamere IP di AVTECH è stata recentemente sfruttata da degli hacker per trasformare questi dispositivi in parte di una botnet, un network di dispositivi compromessi utilizzato per scopi malevoli.

La vulnerabilità, identificata come CVE-2024-7029 con un punteggio di gravità di 8,7 su 10, è stata descritta dai ricercatori di Akamai come un difetto nella funzione di regolazione della luminosità delle telecamere a circuito chiuso (CCTV) AVTECH. Questo difetto permette l’esecuzione di codice da remoto, consentendo agli attaccanti di prendere il controllo delle telecamere.

La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha reso pubblici i dettagli di questa falla di sicurezza all’inizio di agosto 2024, sottolineando la facilità con cui può essere sfruttata da remoto. Nonostante ciò, la vulnerabilità rimane ancora senza una patch correttiva, lasciando esposti migliaia di dispositivi, molti dei quali sono ancora utilizzati in settori critici come il commercio, i servizi finanziari, la sanità e i sistemi di trasporto.

Secondo Akamai, questa campagna di attacco è in corso da marzo 2024, anche se la vulnerabilità era nota e sfruttabile già dal 2019. Il fatto che solo ora sia stato assegnato un identificativo CVE, ossia un codice univoco utilizzato per identificare pubblicamente le vulnerabilità di sicurezza informatica, solleva preoccupazioni sulla rapidità con cui vengono riconosciute e affrontate queste falle.

Gli attaccanti hanno sfruttato la vulnerabilità delle telecamere AVTECH per diffondere una variante del botnet Mirai.

La tecnica utilizzata dagli attaccanti è relativamente semplice: sfruttano la vulnerabilità delle telecamere AVTECH insieme ad altre falle di sicurezza note per diffondere una variante del botnet Mirai.

Questo botnet, denominato “Corona Mirai” in riferimento alla pandemia di COVID-19, si connette a un gran numero di host tramite Telnet, un protocollo che permette la connessione remota a server, utilizzando porte specifiche. Una volta infettati i dispositivi, il malware mostra la stringa “Corona” sulla console, un segnale distintivo dell’infezione.

Questa notizia arriva poco dopo la scoperta di un altro botnet, chiamato 7777 o Quad7, che ha compromesso router TP-Link e ASUS per condurre attacchi di tipo “password spraying” contro account Microsoft 365. Secondo i ricercatori, questo botnet utilizza dispositivi compromessi per effettuare attacchi di forza bruta estremamente lenti, con una rete di oltre 12.000 bot attivi.

Il botnet 7777 prende il nome dalla porta TCP 7777, che viene aperta sui dispositivi compromessi. Tuttavia, recenti indagini suggeriscono che un secondo gruppo di bot, che utilizza principalmente router ASUS e la porta 63256, potrebbe essere emerso come parte di una nuova espansione del botnet.

Il team di ricerca di Team Cymru ha avvertito che il botnet Quad7 rappresenta una minaccia importante, dimostrando una notevole capacità di adattamento e resilienza. La connessione tra i botnet 7777 e 63256, pur mantenendo operazioni apparentemente separate, evidenzia l’evoluzione continua delle tattiche degli operatori di queste minacce.