Dreigingsactoren zijn waargenomen actief te exploiteren van beveiligingsfouten in Geovision End-of-Life (EOL) Internet of Things (IoT) -apparaten om ze in een Mirai-botnet te corrigeren voor het uitvoeren van gedistribueerde Denial-of-Service (DDOS) -aanvallen.
De activiteit, voor het eerst waargenomen door het Akamai Security Intelligence and Response Team (SIRT) begin april 2025, omvat de exploitatie van twee commando-injectiefouten van het besturingssysteem (CVE-2024-6047 en CVE-2024-11120, CVSS-scores: 9.8) die kunnen worden gebruikt om te worden gebruikt om arbitrare systeemopdrachten uit te voeren.
“De exploit richt zich op het eindpunt /DATESETTING.CGI -eindpunt in geovisie IoT -apparaten en injecteert commando’s in de parameter SZSRVipaddr,” zei Akamai -onderzoeker Kyle Lefton in een rapport gedeeld met het Hacker News.
In de aanvallen die zijn gedetecteerd door de webbeveiliging en infrastructuurbedrijf, is de BOTNET opdrachten gevonden om een ARM -versie van de Mirai -malware genaamd LZRD te downloaden en uit te voeren.
Sommige van de kwetsbaarheden die door het botnet worden gebruikt, zijn een kwetsbaarheid van Hadoop Yarn, CVE-2018-10561 en een bug die van invloed was op Digiever die werd benadrukt in december 2024.
Er zijn aanwijzingen dat de campagne overlapt met eerder opgenomen activiteit onder de naam InfectedSlurs.
“Een van de meest effectieve manieren voor cybercriminelen om te beginnen met het samenstellen van een botnet is om zich op slecht beveiligde en verouderde firmware op oudere apparaten te richten,” zei Lefton.
“Er zijn veel hardwarefabrikanten die geen patches uitgeven voor gepensioneerde apparaten (in sommige gevallen kan de fabrikant zelf ter ziele van zijn).”
Aangezien de getroffen geovisie -apparaten waarschijnlijk geen nieuwe patches zullen ontvangen, wordt het aanbevolen om gebruikers te upgraden naar een nieuwer model om te beschermen tegen potentiële bedreigingen.
Samsung Magicinfo -fout geëxploiteerd in Mirai -aanvallen
De openbaarmaking komt als Arctic Wolf en het SANS Technology Institute waarschuwden voor actieve exploitatie van CVE-2024-7399 (CVSS-score: 8.8), een pad-traversale fout in Samsung MagicInfo 9-server die een aanvaller in staat zou kunnen stellen om willekeurige bestanden te schrijven als systeemautoriteit, om het Mirai Botnet te leveren.
Hoewel de kwestie in augustus 2024 door Samsung werd aangepakt, is het sindsdien bewapend door aanvallers na de release van een proof-of-concept (POC) op 30 april 2025, om een shell-script op te halen en uit te voeren dat verantwoordelijk is voor het downloaden van het botnet.
“De kwetsbaarheid zorgt voor willekeurig schrijven van bestanden door niet -geauthenticeerde gebruikers en kan uiteindelijk leiden tot externe code -uitvoering wanneer de kwetsbaarheid wordt gebruikt om speciaal vervaardigde Javaserver Pages (JSP) -bestanden te schrijven,” zei Arctic Wolf.
Gebruikers worden aanbevolen om hun instanties bij te werken naar versie 21.1050 en later om de mogelijke operationele impact te verminderen.
