Una vulnerabilidad sin parchear encontrada en cámaras CCTV comúnmente utilizadas en infraestructuras críticas está siendo explotada activamente para propagar un malware de la variante Mirai, advirtieron los investigadores de Akamai. La vulnerabilidad de inyección de comandos, CVE-2024-7029, se encuentra en la función de brillo de las cámaras CCTV de AVTECH que permite la ejecución remota de código (RCE). La vulnerabilidad se destacó en un aviso del sistema de control industrial (ICS) de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) en agosto de 2024, que citó su falta de complejidad de ataque, explotación remota y explotación pública conocida. Lea ahora: CISA insta a los fabricantes de software a eliminar las vulnerabilidades de inyección de comandos del sistema operativo Los dispositivos de cámara IP de AVTECH se utilizan en todo el mundo, incluso en organizaciones de transporte y otras infraestructuras críticas. La falla tiene una puntuación CVSS de 8,7, lo que le otorga una calificación «Alta». La prueba de concepto (CoP) para CVE-2024-7029 ha estado disponible públicamente desde al menos 2019, pero no se le asignó una CVE hasta agosto de 2024. Actualmente no hay ningún parche disponible. Cómo explotan los atacantes la vulnerabilidad de CCTV Akamai ha observado que una campaña de botnet que propaga la variante del malware Corona Mirai explota CVE-2024-7029. La primera campaña activa observada comenzó el 18 de marzo de 2024, pero el análisis muestra que la actividad ha tenido lugar ya en diciembre de 2023. Una vez inyectada, la botnet propaga una variante de Mirai con nombres de cadena que hacen referencia al virus COVID-19, esto se ha observado desde al menos 2020. La vulnerabilidad se puede ejecutar de forma remota con privilegios elevados. En la campaña destacada, los actores de la amenaza explotaron la vulnerabilidad de inyección de comandos para descargar y ejecutar un archivo JavaScript para obtener y cargar la carga útil del malware Mirai. Tras la ejecución, el malware se conecta a una gran cantidad de hosts a través de Telnet en los puertos 23, 2323 y 37215. También imprime la cadena «Corona» en la consola de un host infectado. El Equipo de Inteligencia y Respuesta de Seguridad (SIRT) de Akamai afirmó que observó que la campaña tenía como objetivo varias otras vulnerabilidades de día cero que siguen sin parchear, incluida una RCE de Hadoop YARN (CVE-2014-8361) y dispositivos Huawei afectados por CVE-2017-17215. La campaña demuestra la tendencia «preocupante» de los atacantes de usar vulnerabilidades más antiguas, probablemente de baja prioridad, que siguen sin parchear para cumplir un propósito malicioso, señalaron los investigadores. «Los actores maliciosos que operan estas botnets han estado utilizando vulnerabilidades nuevas o poco conocidas para proliferar malware. CVE-2024-7029 es otro ejemplo del uso de este último, que se está convirtiendo en una tendencia de ataque cada vez más popular observada por el SIRT», escribieron. Para las vulnerabilidades en las que no hay un parche disponible ni otra forma de remediar el problema, los investigadores aconsejaron a las organizaciones que desmantelaran el hardware y el software afectados.