Fecha de divulgación: 1 de agosto de 2024
CVE-ID y puntuación CVSS: CVE-2024-7029: CVSS 8.7 (Alto)
Nombre y descripción del problema: Vulnerabilidad de inyección de comandos en las cámaras CCTV de AVTECH que permite a los atacantes ejecutar comandos arbitrarios utilizando el parámetro "brightness" en la interfaz CGI del dispositivo. Los investigadores de Akamai SIRT informaron de la observación de campañas de botnets dirigidas a esto para propagar Corona Mirai, una variante de Mirai que utiliza nombres de cadenas que hacen referencia al virus COVID-19. Aunque el número exacto de cámaras afectadas por esta CVE es incierto, Censys informa de que cerca de 38.000 están expuestas en línea.
Descripción del activo y versiones afectadas: Esta vulnerabilidad afecta a las cámaras IP AVTECH con versiones de firmware hasta la AVM1203 FullImg-1023-1007-1011-1009 inclusive. A pesar de haber llegado al final de su vida útil, estos dispositivos siguen utilizándose en todo el mundo, incluso en los sectores de instalaciones comerciales, finanzas, sanidad y sistemas de transporte, según CISA.
AVTECH SECURITY Corporation es un fabricante taiwanés de CCTV que existe desde 1996. CISA informó que no respondieron a las solicitudes para ayudar a mitigar la vulnerabilidad. Su sitio web, aunque funcional, tiene un copyright en el pie de página de 2018, lo que sugiere que puede no ser mantenido activamente.
Impacto de la vulnerabilidad: La vulnerabilidad permite la inyección de comandos a través de la función de brillo en el script CGI ubicado en /cgi-bin/supervisor/Factory.cgi. Los atacantes pueden enviar peticiones especialmente diseñadas al dispositivo, permitiéndoles ejecutar comandos arbitrarios en el sistema operativo subyacente. Un actor de amenaza que explote esta vulnerabilidad podría obtener acceso remoto y ejecutar comandos arbitrarios con privilegios elevados, lo que podría llevar a otras acciones como el despliegue de malware o un mayor compromiso de la red.
Detalles de la explotación: Esta vulnerabilidad se explota activamente y existe una PoC pública disponible. CISA publicó un aviso de vulnerabilidad de sistemas de control industrial para este problema. La red de bots Corona Mirai comenzó a atacar este problema en marzo de 2024, aprovechando tanto la nueva vulnerabilidad como otros exploits más antiguos sin parchear.
Disponibilidad del parche: En el momento de redactar este documento no se ha proporcionado ningún parche oficial para esta vulnerabilidad. Considere poner fuera de servicio los dispositivos AVTECH afectados para mitigar los riesgos o aislar los dispositivos vulnerables de la infraestructura crítica y los datos confidenciales para limitar cualquier daño potencial de la explotación. Además, consulte la lista de IoC de Akamai de Corona Mirai para inspeccionar sus dispositivos en busca de vulnerabilidades.
Censys Perspectiva:
En el momento de escribir esto, Censys observa 37.995 cámaras AVTECH expuestas en línea. No todas ellas son necesariamente vulnerables a este CVE, pero todas son productos que han llegado al final de su vida útil y no deberían estar expuestas al público en Internet.
Para identificar las cámaras AVTECH expuestas en sus redes, se pueden utilizar las siguientes consultas Censys :
Censys Consulta de búsqueda:
services.http.response.body:{`/avtech/jpg/left.jpg`, `href="/avtech/favicon.ico"`}
or services.http.response.headers: (key: `Server` and value.headers: `Linux/2.x UPnP/1.0 Avtech/1.0`)
Censys Consulta ASM:
host.services: (software.vendor:"AVTECH" AND software.product:"IP Camera")
Los clientes de ASM también dispondrán de un riesgo en 24 horas:
risks.name: "Exposed AVTECH Camera"
Referencias:
- https://www.akamai.com/blog/security-research/2024-corona-mirai-botnet-infects-zero-day-sirt
- https://www.cisa.gov/news-events/ics-advisories/icsa-24-214-07
- https://nvd.nist.gov/vuln/detail/CVE-2024-7029