Een jarenlang, zeer ernstig beveiligingslek met gevolgen voor AVTECH IP-camera’s is door kwaadwillenden misbruikt als zero-day-wapen om ze in een botnet te lokken.
CVE-2024-7029 (CVSS-score: 8,7), de kwetsbaarheid in kwestie, is een “command injection-kwetsbaarheid die is aangetroffen in de helderheidsfunctie van AVTECH-CCTV-camera’s (closed-circuit television) die remote code execution (RCE) mogelijk maakt”, aldus Akamai-onderzoekers Kyle Lefton, Larry Cashdollar en Aline Eliovich.
De details van het beveiligingstekort werden eerder deze maand voor het eerst openbaar gemaakt door het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA). Er werd gewezen op de lage aanvalscomplexiteit en de mogelijkheid om het op afstand te misbruiken.
“Als deze kwetsbaarheid succesvol wordt uitgebuit, kan een aanvaller opdrachten injecteren en uitvoeren als eigenaar van het actieve proces”, aldus het agentschap in een waarschuwing die op 1 augustus 2024 werd gepubliceerd.
Het is vermeldenswaard dat het probleem nog steeds niet is opgelost. Het heeft invloed op AVM1203-camera-apparaten met firmwareversies tot en met FullImg-1023-1007-1011-1009. De apparaten worden, hoewel stopgezet, nog steeds gebruikt in commerciële faciliteiten, financiële diensten, gezondheidszorg en volksgezondheid, transportsystemen, volgens CISA.
Volgens Akamai is de aanvalscampagne al sinds maart 2024 gaande, hoewel de kwetsbaarheid al in februari 2019 een openbare proof-of-concept (PoC)-exploit had. Een CVE-identificatie werd echter pas deze maand uitgegeven.
“Kwaadaardige actoren die deze botnets bedienen, gebruiken nieuwe of onder de radar kwetsbaarheden om malware te verspreiden”, aldus het webinfrastructuurbedrijf. “Er zijn veel kwetsbaarheden met openbare exploits of beschikbare PoC’s die geen formele CVE-toewijzing hebben, en in sommige gevallen blijven de apparaten ongepatcht.”
De aanvalsketens zijn vrij eenvoudig in die zin dat ze gebruikmaken van het AVTECH IP-cameralek, samen met andere bekende kwetsbaarheden (CVE-2014-8361 en CVE-2017-17215), om een Mirai-botnetvariant te verspreiden op doelsystemen.
“In dit geval gebruikt het botnet waarschijnlijk de Corona Mirai-variant, die al in 2020 door andere leveranciers werd genoemd in verband met het COVID-19-virus”, aldus de onderzoekers. “Bij uitvoering maakt de malware verbinding met een groot aantal hosts via Telnet op poorten 23, 2323 en 37215. Het print ook de string ‘Corona’ naar de console op een geïnfecteerde host.”
De ontwikkeling komt weken nadat cybersecuritybedrijven Sekoia en Team Cymru een “mysterieus” botnet met de naam 7777 (of Quad7) beschreven dat gecompromitteerde TP-Link- en ASUS-routers heeft gebruikt om wachtwoordsprayaanvallen op Microsoft 365-accounts uit te voeren. Er zijn tot 5 augustus 2024 maar liefst 12.783 actieve bots geïdentificeerd.
“Dit botnet staat in open source bekend om het inzetten van SOCKS5-proxy’s op gecompromitteerde apparaten om extreem trage ‘brute-force’-aanvallen uit te voeren op Microsoft 365-accounts van veel entiteiten over de hele wereld”, aldus onderzoekers van Sekoia. Zij merkten op dat de meeste geïnfecteerde routers zich in Bulgarije, Rusland, de VS en Oekraïne bevinden.
Hoewel het botnet zijn naam ontleent aan het feit dat het TCP-poort 7777 opent op gecompromitteerde apparaten, heeft een vervolgonderzoek van Team Cymru inmiddels een mogelijke uitbreiding met een tweede set bots onthuld. Deze bestaan voornamelijk uit ASUS-routers en worden gekenmerkt door de open poort 63256.
“Het Quad7-botnet blijft een aanzienlijke bedreiging vormen, en toont zowel veerkracht als aanpassingsvermogen, ook al is het potentieel ervan momenteel onbekend of onbereikt”, aldus Team Cymru. “De koppeling tussen de 7777- en 63256-botnets, terwijl het een duidelijk operationele silo in stand houdt, onderstreept de evoluerende tactieken van de bedreigingsoperators achter Quad7.”