Datum der Offenlegung: 1. August 2024
CVE-ID und CVSS-Score: CVE-2024-7029: CVSS 8.7 (Hoch)
Name und Beschreibung des Problems: Befehlsinjektionsschwachstelle in AVTECH CCTV-Kameras, die es Angreifern ermöglicht, beliebige Befehle über den Parameter "brightness" in der CGI-Schnittstelle des Geräts auszuführen. Forscher von Akamai SIRT berichteten über die Beobachtung von Botnet-Kampagnen, die auf diese Schwachstelle abzielen, um Corona Mirai zu verbreiten, eine Variante von Mirai, die String-Namen verwendet, die auf den Virus COVID-19 verweisen. Obwohl die genaue Anzahl der von diesem CVE betroffenen Kameras ungewiss ist, berichtet Censys , dass fast 38.000 Kameras online ausgesetzt sind.
Asset-Beschreibung und betroffene Versionen: Diese Sicherheitslücke betrifft AVTECH IP-Kameras mit Firmware-Versionen bis einschließlich AVM1203 FullImg-1023-1007-1011-1009. Obwohl diese Geräte das Ende ihrer Lebensdauer erreicht haben, werden sie laut CISA noch immer weltweit eingesetzt, unter anderem in kommerziellen Einrichtungen, im Finanzwesen, im Gesundheitswesen und im Transportwesen.
AVTECH SECURITY Corporation ist ein taiwanesischer CCTV-Hersteller, den es seit 1996 gibt. CISA berichtet, dass das Unternehmen nicht auf Anfragen zur Behebung der Sicherheitslücke reagiert hat. Die Website des Unternehmens ist zwar funktionsfähig, weist aber in der Fußzeile ein Copyright aus dem Jahr 2018 auf, was darauf schließen lässt, dass sie nicht aktiv gepflegt wird.
Auswirkungen der Schwachstelle: Die Schwachstelle ermöglicht die Befehlsinjektion über die Funktion brightness im CGI-Skript unter /cgi-bin/supervisor/Factory.cgi. Angreifer können speziell gestaltete Anfragen an das Gerät senden, wodurch sie beliebige Befehle auf dem zugrunde liegenden Betriebssystem ausführen können. Ein Angreifer, der diese Schwachstelle ausnutzt, könnte Fernzugriff erlangen und beliebige Befehle mit erhöhten Rechten ausführen, was zu weiteren Aktionen wie der Verbreitung von Malware oder einer weiteren Gefährdung des Netzwerks führen könnte.
Details zur Ausnutzung: Diese Schwachstelle wird aktiv ausgenutzt und ein öffentlicher PoC ist verfügbar. Die CISA hat einen Hinweis auf die Schwachstelle in industriellen Steuerungssystemen veröffentlicht. Das Corona-Mirai-Botnet begann im März 2024 mit der Ausnutzung der neuen Schwachstelle sowie älterer, nicht gepatchter Schwachstellen.
Patch-Verfügbarkeit: Zum Zeitpunkt der Erstellung dieses Artikels gibt es kein offizielles Patch für diese Sicherheitslücke. Ziehen Sie in Erwägung, betroffene AVTECH-Geräte außer Betrieb zu nehmen, um das Risiko zu minimieren, oder isolieren Sie anfällige Geräte von kritischer Infrastruktur und sensiblen Daten, um den potenziellen Schaden einer Ausnutzung zu begrenzen. Lesen Sie außerdem die Akamai-Liste der IoCs von Corona Mirai, um Ihre Geräte auf Angriffe zu untersuchen.
Censys Perspektive:
Zum Zeitpunkt der Erstellung dieses Artikels beobachtet Censys 37.995 gefährdete AVTECH-Kameras im Internet. Nicht alle von ihnen sind notwendigerweise anfällig für dieses CVE, aber alle sind Altprodukte und sollten nicht dem öffentlichen Internet ausgesetzt werden.
Um exponierte AVTECH-Kameras in Ihren Netzwerken zu identifizieren, können die folgenden Censys Abfragen verwendet werden:
Censys Search Abfrage:
services.http.response.body:{`/avtech/jpg/left.jpg`, `href="/avtech/favicon.ico"`}
or services.http.response.headers: (key: `Server` and value.headers: `Linux/2.x UPnP/1.0 Avtech/1.0`)
Censys ASM-Abfrage:
host.services: (software.vendor:"AVTECH" AND software.product:"IP Camera")
Ein Risiko wird auch für ASM-Kunden innerhalb von 24 Stunden verfügbar sein:
risks.name: "Exposed AVTECH Camera"
Referenzen:
- https://www.akamai.com/blog/security-research/2024-corona-mirai-botnet-infects-zero-day-sirt
- https://www.cisa.gov/news-events/ics-advisories/icsa-24-214-07
- https://nvd.nist.gov/vuln/detail/CVE-2024-7029