Un botnet exploite le jour zéro de GeoVision pour installer le malware Mirai

Un botnet malveillant exploite une vulnérabilité zero-day dans les appareils GeoVision en fin de vie pour les compromettre et les recruter pour de probables attaques DDoS ou de minage de chiffrement.

La faille est suivie comme CVE-2024-11120 et a été découverte par Piotr Kijewski de la Fondation Shadowserver. Il s’agit d’un problème d’injection de commandes du système d’exploitation de gravité critique (score CVSS v3.1: 9,8), permettant à des attaquants non authentifiés d’exécuter des commandes système arbitraires sur l’appareil.

« Des attaquants distants non authentifiés peuvent exploiter cette vulnérabilité pour injecter et exécuter des commandes système arbitraires sur l’appareil », prévient le CERT de Taiwan.

« De plus, cette vulnérabilité a déjà été exploitée par des attaquants, et nous avons reçu des rapports connexes. »

Selon TWCERT, la vulnérabilité affecte les modèles d’appareils suivants:

• GV-VS12: Un serveur vidéo H. 264 à 2 canaux qui convertit les signaux vidéo analogiques en flux numériques pour la transmission réseau.
• GV-VS11: Un serveur vidéo monocanal conçu pour numériser la vidéo analogique pour la diffusion en continu sur le réseau.
• GV-DSP LPR V3: Un système basé sur Linux dédié à la reconnaissance des plaques d’immatriculation (LPR).
• GV-LX 4 CV 2 / GV-LX 4 CV 3: Enregistreurs vidéo numériques compacts (DVR) conçus pour les applications de surveillance mobiles.

Tous ces modèles ont atteint la fin de vie et ne sont plus pris en charge par le fournisseur, aucune mise à jour de sécurité n’est donc attendue.

Plateforme de surveillance des menaces La Fondation Shadowserver rapporte qu’environ 17 000 appareils GeoVision sont exposés en ligne et sont vulnérables à la faille CVE-2024-11120.

Kijewski a déclaré à Breachtrace que le botnet semble être une variante de Mirai, qui est généralement utilisée dans le cadre de plates-formes DDoS ou pour effectuer du minage de chiffrement.

We observed a 0day exploit in the wild used by a botnet targeting GeoVision EOL devices. The pre-auth command injection vulnerability was verified in collaboration with TWCERT & GeoVision & assigned CVE-2024-11120 (CVSS 9.8)https://t.co/DflYdYZzto

NVD: https://t.co/r5xKP1nocq pic.twitter.com/A2kA0LeXdP

— The Shadowserver Foundation (@Shadowserver) November 15, 2024

La plupart des appareils exposés (9 100) sont basés aux États-Unis, suivis de l’Allemagne (1 600), du Canada (800), de Taiwan (800), du Japon (350), de l’Espagne (300) et de la France (250).

En général, les signes de compromission du botnet incluent des appareils qui chauffent excessivement, deviennent lents ou ne répondent plus et dont la configuration a été modifiée arbitrairement.

Si vous remarquez l’un de ces symptômes, réinitialisez l’appareil, remplacez le mot de passe administrateur par défaut par un mot de passe fort, désactivez les panneaux d’accès à distance et placez l’appareil derrière un pare-feu.

Idéalement, ces périphériques devraient être remplacés par des modèles activement pris en charge, mais si cela est impossible, ils devraient être isolés sur un réseau local ou un sous-réseau dédié et surveillés de près.