Le botnet malveillant basé sur Corona Mirai se propage via un zero-day d’exécution de code à distance (RCE) vieux de 5 ans dans les caméras IP AVTECH, qui ont été abandonnées depuis des années et ne recevront pas de correctif.
La faille, découverte par Aline Eliovich d’Akamai, est répertoriée sous le numéro CVE-2024-7029 et constitue un problème de gravité élevée (score CVSS v4: 8,7) dans la fonction « luminosité » des caméras, permettant aux attaquants non authentifiés d’injecter des commandes sur le réseau à l’aide de requêtes spécialement conçues.
Plus précisément, la faille facile à exploiter réside dans l’argument « luminosité » du paramètre « action= » du micrologiciel des caméras AVTECH, destiné à permettre des réglages à distance de la luminosité d’une caméra.
La faille affecte toutes les caméras IP AVTECH AVM1203 fonctionnant sur des versions de micrologiciel jusqu’à Fullmg-1023-1007-1011-1009.
En raison du fait que les modèles impactés ne sont plus pris en charge par le fournisseur taïwanais, ayant atteint leur fin de vie (EoL) en 2019, aucun correctif n’est disponible pour résoudre CVE-2024-7029, et aucun correctif ne devrait être publié.
La Cybersecurity and Infrastructure Security Agency des États-Unis a publié un avis au début du mois pour avertir de CVE-2024-7029 et de la disponibilité des exploits publics, avertissant que les caméras sont toujours utilisées dans les installations commerciales, les services financiers, les soins de santé et la santé publique, et les systèmes de transport.
Des exploits de preuve de concept (PoC) pour cette faille particulière sont disponibles depuis au moins 2019, mais une CVE n’a été attribuée que ce mois-ci, et aucune exploitation active n’avait été observée auparavant.
Exploitation en cours
Corona est une variante basée sur Mirai qui existe depuis au moins 2020, exploitant diverses vulnérabilités dans les appareils IoT pour se propager.
L’équipe SIRT d’Akamai rapporte qu’à partir du 18 mars 2024, Corona a commencé à exploiter CVE-2024-7029 dans des attaques à l’état sauvage, ciblant les caméras AVM1203 toujours en service bien qu’elles aient atteint la fin de vie il y a cinq ans.
La première campagne active que nous avons observée a débuté le 18 mars 2024, mais l’analyse a montré une activité pour cette variante dès décembre 2023. La preuve de concept (PoC) pour CVE-2024-7029 est accessible au public depuis au moins février 2019, mais elle n’a jamais eu d’affectation CVE appropriée avant août 2024.
Les attaques Corona, telles qu’elles ont été capturées dans les pots de miel d’Akamai, exploitent CVE-2024-7029 pour télécharger et exécuter un fichier JavaScript, qui, à son tour, charge la charge utile principale du botnet sur l’appareil.
Une fois imbriqué sur l’appareil, le logiciel malveillant se connecte à ses serveurs de commande et de contrôle (C2) et attend des instructions sur l’exécution d’attaques par déni de service distribué (DDoS).
D’autres failles ciblées par Corona, selon l’analyse d’Akamai, sont:
- CVE-2017-17215: Une vulnérabilité dans les routeurs Huawei qui permet aux attaquants distants d’exécuter des commandes arbitraires sur les appareils affectés en exploitant une validation incorrecte dans le service UPnP.
- CVE-2014-8361: Une vulnérabilité d’exécution de code à distance (RCE) dans le SDK Realtek, que l’on trouve souvent dans les routeurs grand public. Cette faille peut être exploitée via le service HTTP exécuté sur ces routeurs.
- Hadoop YARN RCE: Vulnérabilités au sein du système de gestion des ressources Hadoop YARN (Encore un Autre négociateur de ressources), qui peuvent être exploitées pour permettre l’exécution de code à distance sur des clusters Hadoop.
Il est recommandé aux utilisateurs de caméras IP AV TECH AVM1203 de les mettre immédiatement hors ligne et de les remplacer par des modèles plus récents et activement pris en charge.
Comme les caméras IP sont généralement exposées à Internet, ce qui en fait des cibles attrayantes pour les auteurs de menaces, elles doivent toujours exécuter la dernière version du micrologiciel pour s’assurer que les bogues connus sont corrigés. Si un appareil est abandonné, il doit être remplacé par des modèles plus récents pour continuer à recevoir les mises à jour de sécurité.
De plus, les informations d’identification par défaut doivent être remplacées par des mots de passe forts et uniques et elles doivent être séparées des réseaux critiques ou de production.