Une vulnérabilité dans les caméras AVTECH est activement exploitée pour propager une variante du célèbre botnet Mirai, ont averti les chercheurs en sécurité d'Akamai.

Surnommée CVE-2024-7029, la faille permet aux attaquants distants d'injecter des commandes et de prendre le contrôle des appareils affectés.

Découverte par Aline Eliovich, la vulnérabilité zero-day se situe dans la fonction « luminosité » du firmware de l'appareil photo. En exploitant cette faiblesse, des acteurs malveillants peuvent injecter des commandes à un niveau de privilège élevé, détournant ainsi efficacement l'appareil.

Le code d'exploitation est accessible au public depuis au moins 2019, mais un identifiant CVE ne lui a été officiellement attribué qu'en août 2024. Ce retard met en évidence le défi que représente la lutte contre les vulnérabilités qui n'ont pas été officiellement cataloguées, laissant d'innombrables appareils exposés.

« Une vulnérabilité sans attribution formelle de CVE peut néanmoins représenter une menace pour votre organisation. En fait, elle peut être considérable », prévient Akamai. « Les acteurs malveillants qui exploitent ces botnets exploitent des vulnérabilités nouvelles ou peu connues pour faire proliférer les programmes malveillants. »

L'équipe d'Akamai, qui a découvert la campagne grâce à son réseau mondial de botnets, a observé que le botnet ciblait plusieurs vulnérabilités au-delà de CVE-2024-7029. Il s'agissait notamment d'un RCE Hadoop YARN, CVE-2014-8361 et CVE-2017-17215, mettant en évidence une tendance alarmante des attaquants à exploiter des failles de sécurité plus anciennes et souvent négligées.

Une fois qu'un appareil est compromis, le botnet, surnommé « Corona Mirai » en raison des chaînes faisant référence au virus COVID-19 dans le logiciel malveillant, cherche à étendre sa portée en ciblant les appareils utilisant Telnet sur les ports 23, 2323 et 37215. Il tente également d'exploiter les appareils Huawei vulnérables au CVE-2017-17215.

Bien que le modèle de caméra AVTECH concerné ait été abandonné, l'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a averti que ces appareils sont toujours largement déployés à l'échelle mondiale, y compris au sein d'infrastructures critiques.

« Gérer les priorités en matière de correctifs est une tâche ardue, surtout lorsque les menaces ne sont pas couvertes par un correctif », explique l’équipe d’Akamai. Dans ce cas, il est recommandé de mettre hors service le matériel et les logiciels vulnérables pour atténuer les risques.