Een niet-geplande beveiligingsfout die van invloed is op de Edimax IC-7100-netwerkcamera wordt geëxploiteerd door dreigingsacteurs om Mirat Botnet-malware-varianten te leveren sinds minstens mei 2024.
De kwetsbaarheid in kwestie is CVE-2025-1316 (CVSS V4-score: 9.3), een kritisch besturingssysteem Command Injection-fouten dat een aanvaller zou kunnen benutten om externe code-uitvoering op gevoelige apparaten te bereiken door middel van een speciaal vervaardigd verzoek.
Webinfrastructuur- en beveiligingsbedrijf Akamai zei dat de vroegste poging van de exploit die zich richt op de fout dateert uit mei 2024, hoewel een proof-of-concept (POC) exploit sinds juni 2023 openbaar beschikbaar is.
“De exploit richt zich op het /camera-cgi/admin/param.cgi eindpunt in Edimax-apparaten en injecteert commando’s in de optie NTP_ServerName als onderdeel van de IPCAMSource-optie van param.cgi,” Akamai-onderzoekers Kyle Lefton en Larry zeiden.
Hoewel het bewapening van het eindpunt authenticatie vereist, is gebleken dat de exploitatiepogingen gebruik maken van standaardreferenties (admin: 1234) om ongeautoriseerde toegang te verkrijgen.
Ten minste twee verschillende Mirai Botnet-varianten zijn geïdentificeerd als het benutten van de kwetsbaarheid, waarbij een van hen ook anti-debugging-functionaliteit heeft opgenomen voordat een shell-script wordt uitgevoerd dat de malware voor verschillende architecturen haalt.
Het einddoel van deze campagnes is om de geïnfecteerde apparaten te corraleren in een netwerk dat in staat is om gedistribueerde Denial-of-Service (DDOS) -aanvallen op doelen van belang te orkestreren over TCP- en UDP-protocollen.
Bovendien zijn de botnetten waargenomen met het gebruik van CVE-2024-7214, die totale IoT-apparaten en CVE-2021-36220 en een Hadoop-garenkwetsbaarheid beïnvloedt.
In een onafhankelijk advies dat vorige week werd gepubliceerd, zei Edimax dat de CVE-2025-1316 invloed heeft op legacy-apparaten die niet langer actief worden ondersteund en dat het geen plannen heeft om een beveiligingspatch te bieden sinds het model meer dan 10 jaar geleden werd stopgezet.
Gezien de afwezigheid van een officiële patch, wordt gebruikers geadviseerd om ofwel te upgraden naar een nieuwer model of te voorkomen dat het apparaat rechtstreeks via internet wordt blootgelegd, het standaardbeheerswachtwoord wijzigt en toegangslogboeken moet bewaken voor tekenen van ongebruikelijke activiteit.
“Een van de meest effectieve manieren voor cybercriminelen om te beginnen met het samenstellen van een botnet is om zich op slecht beveiligde en verouderde firmware op oudere apparaten te richten,” zei Akamai.
“De erfenis van Mirai blijft organisaties wereldwijd pesten terwijl de verspreiding van op Mirai malware gebaseerde botnets geen tekenen van stoppen vertoont. Met allerlei vrij beschikbare tutorials en broncode (en nu, met AI -assistentie) die een BOTNet opduiken, is een Botnet nog gemakkelijker geworden.”
