Информация об атаке

Tag
 
CVE-2024-7029
Date
 
2024-10-07
Client IP
 
172.232.38.208
Client GEO
 
france
Vendor
 
AVTECH
Product
 
AVM1203 IP cameras
RAW request
 
POST /cgi-bin/supervisor/Factory.cgi HTTP/1.0
User-Agent: Go-http-client/1.1
Host: █████████████
Content-Type: application/x-www-form-urlencoded
Content-Length: 66
X-Forwarded-For: ██████████████
Accept-Encoding: gzip
Connection: close

action=white_led&brightness=$(echo%20GDHAiwhsHWhswHSKA%202>&1)%20#
Description
 
CVE-2024-7029 - это критическая уязвимость в IP-камерах Avtech AVM1203, позволяющая выполнять удаленное выполнение кода (RCE) без необходимости аутентификации. Эта уязвимость особенно опасна, так как может быть использована через сеть, что позволяет злоумышленникам вводить и выполнять команды удаленно. Уязвимость находится в функции яркости прошивки камеры, в частности в параметре "action=", который можно манипулировать для выполнения произвольных команд с теми же привилегиями, что и у владельца устройства.


Уязвимость затрагивает версии прошивки до и включая FullImg-1023-1007-1011-1009. Несмотря на то, что эта проблема известна с 2019 года, Avtech не выпустила патч, и камеры были сняты с производства. Это оставляет устройства постоянно уязвимыми, что представляет значительный риск для пользователей. Уязвимость активно эксплуатируется различными вредоносными программами, включая ботнет на основе Corona Mirai, который использует эту уязвимость для заражения и управления камерами в злонамеренных целях.


Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) выпустило предупреждения об этой уязвимости, подчеркивая ее низкую сложность атаки и возможность эксплуатации удаленно. Уязвимость эксплуатируется в дикой природе, и публичный Proof of Concept (PoC) доступен с 2019 года. Кампания по эксплуатации активна с начала 2024 года, нацелена на критические инфраструктурные сектора, такие как коммерческие объекты, здравоохранение, финансовые услуги и транспортные системы.


Учитывая высокий балл CVSS 8.8, эта уязвимость считается крайне критической. Отсутствие патча и продолжающееся использование этих камер в критической инфраструктуре делают необходимым немедленное принятие мер для снижения риска.
Mitigations
 
    

  1. Сегментация сети: Изолируйте уязвимые камеры от остальной сети, чтобы ограничить потенциальный ущерб.
    2. 

  2. Правила межсетевого экрана: Внедрите строгие правила межсетевого экрана для блокировки несанкционированного доступа к камерам.
    3. 

  3. Отключение неиспользуемых сервисов: Отключите любые неиспользуемые сервисы на камерах, чтобы уменьшить поверхность атаки.
    4. 

  4. Мониторинг сетевого трафика: Постоянно мониторьте сетевой трафик на предмет необычной активности, которая может указывать на попытку эксплуатации.
    5. 

  5. Замена уязвимых устройств: Рассмотрите возможность замены снятых с производства и не подлежащих патчам камер AVTECH AVM1203 на новые, поддерживаемые модели, которые получают регулярные обновления безопасности.
    6. 

  6. Связь с поставщиком: Свяжитесь с Avtech для получения возможных неофициальных патчей или дополнительных рекомендаций по защите устройств.
    7.
Links
https://arstechnica.com/security/2024/08/unpatchable-0-day-in-surveillance-cam-is-being-exploited-to-install-mirai/
https://attackerkb.com/topics/klY0TwDSd5/cve-2024-7029
https://censys.com/cve-2024-7029/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=2024-7029
https://cybersecuritynews.com/corona-mirai-rce-zero-day-exploit/
https://nvd.nist.gov/vuln/detail/CVE-2024-7029
https://nvd.nist.gov/vuln/detail/CVE-2024-7029?utm_source=https://zoost.ai/
https://thehackernews.com/2024/08/unpatched-avtech-ip-camera-flaw.html
https://vulners.com/cve/CVE-2024-7029
https://www.bleepingcomputer.com/news/security/malware-exploits-5-year-old-zero-day-to-infect-end-of-life-ip-cameras/
https://www.cisa.gov/news-events/ics-advisories/icsa-24-214-07
https://www.cvedetails.com/cve/CVE-2024-7029/
https://www.tenable.com/cve/CVE-2024-7029
https://www.theregister.com/2024/08/31/ip_cameras_mirai_botnet/