Một lỗ hổng bảo mật chưa được vá ảnh hưởng đến camera mạng Edimax IC-7100 đang bị các tác nhân đe dọa khai thác để phát tán các biến thể phần mềm độc hại botnet Mirai ít nhất là từ tháng 5 năm 2024.

Lỗ hổng được đề cập là CVE-2025-1316 (điểm CVSS v4: 9.3), một lỗ hổng nghiêm trọng về việc chèn lệnh hệ điều hành mà kẻ tấn công có thể khai thác để thực thi mã từ xa trên các thiết bị dễ bị tấn công thông qua một yêu cầu được tạo đặc biệt. Công ty về cơ sở hạ tầng web và bảo mật Akamai cho biết nỗ lực khai thác sớm nhất nhắm vào lỗ hổng này là vào tháng 5 năm 2024, mặc dù một bản khai thác PoC (proof-of-concept) đã được công khai từ tháng 6 năm 2023. Các nhà nghiên cứu Kyle Lefton và Larry Cashdollar của Akamai cho biết: “Vụ khai thác nhắm vào endpoint /camera-cgi/admin/param.cgi trong các thiết bị Edimax, và chèn lệnh vào tùy chọn NTP_serverName như một phần của tùy chọn ipcamSource của param.cgi”.

Mặc dù việc vũ khí hóa endpoint yêu cầu xác thực, nhưng người ta đã phát hiện ra rằng các nỗ lực khai thác đang sử dụng thông tin đăng nhập mặc định (admin:1234) để có được quyền truy cập trái phép. Ít nhất hai biến thể botnet Mirai khác nhau đã được xác định là đang khai thác lỗ hổng này, trong đó một biến thể còn kết hợp chức năng chống gỡ lỗi trước khi chạy một shell script để tải xuống phần mềm độc hại cho các kiến trúc khác nhau. Mục tiêu cuối cùng của các chiến dịch này là tập hợp các thiết bị bị nhiễm vào một mạng lưới có khả năng điều phối các cuộc tấn công từ chối dịch vụ phân tán (DDoS) chống lại các mục tiêu quan tâm qua giao thức TCP và UDP.

Hơn nữa, các botnet này còn được quan sát thấy đang khai thác CVE-2024-7214, ảnh hưởng đến các thiết bị TOTOLINK IoT, CVE-2021-36220 và một lỗ hổng Hadoop YARN. Trong một khuyến cáo độc lập được công bố vào tuần trước, Edimax cho biết CVE-2025-1316 ảnh hưởng đến các thiết bị cũ không còn được hỗ trợ tích cực và hãng không có kế hoạch cung cấp bản vá bảo mật vì model này đã ngừng sản xuất hơn 10 năm trước. Do không có bản vá chính thức, người dùng được khuyến nghị nâng cấp lên model mới hơn, hoặc tránh để thiết bị tiếp xúc trực tiếp với internet, thay đổi mật khẩu quản trị mặc định và theo dõi nhật ký truy cập để phát hiện bất kỳ dấu hiệu hoạt động bất thường nào.

Akamai cho biết: “Một trong những cách hiệu quả nhất để tội phạm mạng bắt đầu xây dựng một botnet là nhắm mục tiêu vào phần mềm firmware cũ và bảo mật kém trên các thiết bị đời cũ”. “Di sản của Mirai tiếp tục gây khó khăn cho các tổ chức trên toàn thế giới khi sự lây lan của các botnet dựa trên phần mềm độc hại Mirai không có dấu hiệu dừng lại. Với tất cả các hướng dẫn và mã nguồn có sẵn miễn phí (và giờ đây, với sự hỗ trợ của AI), việc tạo ra một botnet thậm chí còn trở nên dễ dàng hơn”

Security365