Date de divulgation : 1er août 2024
CVE-ID et score CVSS : CVE-2024-7029 : CVSS 8.7 (élevé)
Nom et description du problème : Vulnérabilité d'injection de commande dans les caméras CCTV AVTECH qui permet aux attaquants d'exécuter des commandes arbitraires en utilisant le paramètre " brightness " dans l'interface CGI de l'appareil. Des chercheurs du SIRT d'Akamai ont signalé avoir observé des campagnes de botnet ciblant cette vulnérabilité pour diffuser Corona Mirai, une variante de Mirai qui utilise des noms de chaîne faisant référence au virus COVID-19. Bien que le nombre exact de caméras affectées par ce CVE soit incertain, Censys rapporte que près de 38 000 d'entre elles sont exposées en ligne.
Description de l'actif et versions affectées : Cette vulnérabilité affecte les caméras IP AVTECH utilisant des versions de micrologiciel allant jusqu'à AVM1203 FullImg-1023-1007-1011-1009. Bien qu'ils soient en fin de vie, ces appareils sont encore utilisés dans le monde entier, notamment dans les secteurs des installations commerciales, de la finance, de la santé et des systèmes de transport, selon CISA.
AVTECH SECURITY Corporation est un fabricant taïwanais de systèmes de télévision en circuit fermé qui existe depuis 1996. La CISA a indiqué que l'entreprise n'avait pas répondu aux demandes d'aide pour atténuer la vulnérabilité. Son site web, bien que fonctionnel, comporte un copyright dans le pied de page datant de 2018, ce qui suggère qu'il n'est pas activement maintenu.
Impact de la vulnérabilité : La vulnérabilité permet l'injection de commandes via la fonction brightness dans le script CGI situé à l'adresse /cgi-bin/supervisor/Factory.cgi. Les attaquants peuvent envoyer des requêtes spécialement conçues à l'appareil, ce qui leur permet d'exécuter des commandes arbitraires sur le système d'exploitation sous-jacent. Un acteur de menace exploitant cette vulnérabilité pourrait obtenir un accès à distance et exécuter des commandes arbitraires avec des privilèges élevés, ce qui pourrait conduire à d'autres actions telles que le déploiement de logiciels malveillants ou la compromission du réseau.
Détails de l'exploitation : Cette vulnérabilité est activement exploitée et un PoC public est disponible. La CISA a publié un avis de vulnérabilité pour les systèmes de contrôle industriel. Le botnet Corona Mirai a commencé à cibler ce problème en mars 2024, en exploitant à la fois la nouvelle vulnérabilité et d'anciens exploits non corrigés.
Disponibilité du correctif : Au moment de la rédaction du présent document, aucun correctif officiel n' a été fourni pour cette vulnérabilité. Envisagez de mettre hors service les appareils AVTECH concernés afin d'atténuer les risques ou d'isoler les appareils vulnérables de l'infrastructure critique et des données sensibles afin de limiter tout dommage potentiel lié à l'exploitation. En outre, consultez la liste des IoC de Corona Mirai établie par Akamai afin d'inspecter vos dispositifs pour vérifier qu'ils ne sont pas compromis.
Censys Perspective :
À l'heure où nous écrivons ces lignes, Censys observe 37 995 caméras AVTECH exposées en ligne. Toutes ces caméras ne sont pas nécessairement vulnérables à ce CVE, mais toutes sont des produits en fin de vie et ne devraient pas être exposées à l'internet public.
Pour identifier les caméras AVTECH exposées sur vos réseaux, les requêtes suivantes Censys peuvent être utilisées :
Censys Requête de recherche:
services.http.response.body:{`/avtech/jpg/left.jpg`, `href="/avtech/favicon.ico"`}
or services.http.response.headers: (key: `Server` and value.headers: `Linux/2.x UPnP/1.0 Avtech/1.0`)
Censys Requête ASM:
host.services: (software.vendor:"AVTECH" AND software.product:"IP Camera")
Un risque sera également disponible pour les clients de l'ASM dans les 24 heures :
risks.name: "Exposed AVTECH Camera"
Références :
- https://www.akamai.com/blog/security-research/2024-corona-mirai-botnet-infects-zero-day-sirt
- https://www.cisa.gov/news-events/ics-advisories/icsa-24-214-07
- https://nvd.nist.gov/vuln/detail/CVE-2024-7029