Une vulnérabilité critique d’injection de commandes affectant la caméra IP Edimax IC-7100 est actuellement exploitée par des logiciels malveillants botnet pour compromettre les appareils.
La faille a été découverte par des chercheurs d’Akamai, qui ont confirmé à Breachtrace que la faille était exploitée dans des attaques toujours en cours.
Kyle Lefton, chercheur chez Akamai, a déclaré à Breachtrace qu’ils fourniraient plus de détails techniques sur la faille et le botnet associé la semaine prochaine.
Après avoir découvert la faille, Akamai l’a signalée à la Cybersecurity & Infrastructure Agency (CISA) des États-Unis, qui a tenté de contacter le fournisseur taïwanais.
« Akamai SIRT et CISA ont tenté de contacter le fournisseur (Edimax) à plusieurs reprises. CISA n’a pas pu obtenir de réponse de leur part », a déclaré Lefton Breachtrace .com.
« Je les ai personnellement contactés et j’ai reçu une réponse, mais tout ce qu’ils ont dit, c’est que l’appareil en question, IC-7100, était en fin de vie et ne recevait donc plus de mises à jour. Edimax n’ayant pas été en mesure de nous fournir plus d’informations, il est possible que cette CVE affecte une plus large gamme d’appareils, et il est peu probable qu’un correctif soit publié. »
L’Edimax IC-7100 est une caméra de sécurité IP pour la surveillance à distance dans les maisons, les petits immeubles de bureaux, les installations commerciales et les environnements industriels.
Le produit n’est plus largement disponible dans les canaux de vente au détail. Il a été publié en octobre 2011 et Edimax le répertorie sous ses « produits hérités », suggérant qu’il n’est plus produit et qu’il n’est probablement plus pris en charge.
Cependant, un nombre important de ces appareils peuvent encore être utilisés à travers le monde.
La vulnérabilité Edimax est suivie sous le numéro CVE-2025-1316 et constitue une faille d’injection de commande de système d’exploitation de gravité critique (score CVSS v4.0 9.3) causée par la neutralisation incorrecte des requêtes entrantes.
Un attaquant distant peut exploiter cette faille et obtenir l’exécution de code à distance en envoyant des requêtes spécialement conçues à l’appareil.
Dans ce cas, l’exploitation actuelle est effectuée par un logiciel malveillant botnet pour compromettre les appareils.
Les botnets utilisent généralement ces appareils pour lancer des attaques par déni de service distribué (DDoS), proxy du trafic malveillant ou pivot vers d’autres appareils sur le même réseau.
Compte tenu de la situation et du statut d’exploitation active de CVE-2025-1316, les appareils concernés doivent être mis hors ligne ou remplacés par des produits activement pris en charge.
CISA recommande aux utilisateurs de minimiser l’exposition Internet des appareils concernés, de les placer derrière des pare-feu et de les isoler des réseaux d’entreprise critiques.
De plus, l’agence américaine recommande d’utiliser des produits de réseau privé virtuel (VPN) à jour pour un accès distant sécurisé en cas de besoin.
Les signes courants d’appareils IoT compromis incluent une dégradation des performances, un échauffement excessif, des modifications inattendues des paramètres de l’appareil et un trafic réseau atypique/anormal.