Новости компьютерной безопасности:

  Latest News

Corona Mirai Botnet Exploiting RCE Zero-Day To Hire New Bots

С сайта: Zero-Day(cybersecuritynews.com)

Corona Mirai Botnet Exploiting RCE Zero-Day To Hire New Bots

Author: Aman Mishra

A botnet is exploiting a new zero-day vulnerability, CVE-2024-7029, in AVTECH CCTV cameras to spread a Mirai variant, which is a command injection vulnerability in the brightness function that allows for remote code execution. 

It leverages this vulnerability to gain control of the cameras and propagate itself further, using a variant of the Mirai malware that references COVID-19, which has been observed since 2020.

A critical zero-day vulnerability, CVE-2024-7029, was discovered in AVTECH IP cameras, which allows attackers to execute remote commands with elevated privileges, enabling them to spread a Mirai botnet variant.

The botnet campaign also targets other vulnerabilities, including older, unpatched ones like CVE-2014-8361 and CVE-2017-17215, which highlights a concerning trend of attackers exploiting vulnerabilities that have been overlooked or deemed low priority.

CVE-2024-7029 is a critical security flaw affecting AVTECH IP cameras that lies in the device’s handling of the “brightness” parameter within the “action=” command.

Malicious actors can exploit this by injecting arbitrary commands into the device’s system, potentially gaining unauthorized access and control. 

The vulnerability was actively exploited in the wild, with attackers spreading a modified Mirai botnet variant to compromised devices.

The botnet’s name, referencing COVID-19, highlights the ongoing threat posed by such vulnerabilities.

cyber security newsPoC of the exploit
The CVE-2024-7029 vulnerability in AVTECH IP camera devices has been exploited since at least December 2023, with the first active campaign observed in March 2024. 

Although the proof of concept for this vulnerability has been publicly available since 2019, it wasn’t assigned a CVE until August 2024.

Despite being discontinued years ago, these devices are still widely used in critical infrastructure, making them a significant target for attackers. 

The vulnerability resides in the brightness function of the /cgi-bin/supervisor/Factory.cgi file, which processes user-supplied input without proper validation, leading to a code injection vulnerability. 

cyber security newsStrings from the JavaScript downloader
Exploiters can craft malicious input that contains arbitrary code, which is then executed by the server, which results in unauthorized access, data exfiltration, or other malicious actions.

It was initially identified by analyzing honeypot logs, where the decoded payload provides evidence of the exploit attempt.

Attackers exploited a vulnerability to execute remote code and download a JavaScript file, which fetched and loaded the main malware payload, a variant of Mirai malware that turns the infected device into a bot. 

cyber security news Execution of malware showing output to console
The malware then connected to other bots and performed malicious actions, possibly including exploiting other network vulnerabilities and attempting to exploit a specific Huawei device vulnerability (CVE-2017-17215).

According to Akamai, vulnerabilities without CVEs can be significant threats, as malicious actors leverage them for malware propagation, as CVE-2024-7029 is an example of this trend.

Many unpatched vulnerabilities with public exploits or PoCs exist, making patch management challenging. When remediation is impossible, decommissioning hardware and software is recommended to mitigate risks and avoid regulatory fines.



#Botnet #Cyber_Security_News #Zero-Day #cyber_security #cyber_security_news #Mirai_Botnet #Zero-Day_Exploit

Оригинальная версия на сайте: Corona Mirai Botnet Exploiting RCE Zero-Day To Hire New Bots
Вернуться к списку новостей К свежим новостям Здесь был google AdSense.
Вместо рекламы товаров началась политическая агитация.
Отключено до получения извинений.

Вернуться к списку новостей Здесь был google AdSense.
Вместо рекламы товаров началась политическая агитация.
Отключено до получения извинений.


Новости проекта CSN:

✉ CSN.net4me.net

Обновление сайта csn.net4me.net

Обновление сайта csn.net4me.net 💻
cyber security news
  • Физически мы переехали на новый сервер. Благодарим наших подписчиков и постоянных читателей за терпение и понимание.
  • Сайт csn.net4me.net полностью адаптирован для работы по шифрованному SSL соединению.
  • Изменен механизм обработки и отображения опасных и критических уязвимостей.

Благодарим что вы с нами.


#CSN_обновление_сайта
https://csn.net4me.net/cyber_security_8301.html

Дополнительный материал

О проекте CSN

Проект CSN.net4me.net родился 16 Марта 2018 года.
Проект находится в самом начале своего развития. Конечно оформление, наполнение будет меняться. Одно останется неизменным - самые свежие новости компьютерной и сетевой безопасности.

О проекте net4me

Проект net4me.net развивался как сборник готовых решений и документации по темам компьютерной безопасности, сетевых решений и СПО (в часности linux). Темпы развития IT отрасли оказались столь быстрыми, что некоторые знания, технологии и информация о них устаревали мгновенно. Тем не менее, некоторый материал net4me.net до сих пор востребован.

Об источниках

Новости берутся CSN из открытых и доступных каждому источников. Авторы проекта стараются подбирать авторитетные и проверенные источники. Но, тем не менее, не несут ответственности за содержимое новостей. В каждой новости указывается источник этой новости, её автор и ссылка на оригинал новости.

Информация

Если вы желаете чтобы новости вашего ресурса были размещены на сайте CSN, то свяжитесь с авторами проекта csn@net4me.net и предложите ссылку на rss или xml ленту новостей вашего ресурса. Любая предложенная информация будет рассмотрена редакцией.