Una vulnerabilità critica colpisce le telecamere Edimax IC-7100
Una falla di sicurezza non corretta che interessa le telecamere di rete Edimax IC-7100 è stata sfruttata da attori malintenzionati almeno da maggio 2024. La vulnerabilità in questione, con un punteggio CVSS v4 di 9.3, è un grave difetto di iniezione di comandi nel sistema operativo che un attaccante potrebbe sfruttare per eseguire codice da remoto su dispositivi vulnerabili tramite una richiesta appositamente creata.
Dettagli tecnici della vulnerabilità
Secondo l’azienda di sicurezza e infrastruttura web Akamai, il primo tentativo di sfruttamento della falla risale a maggio 2024, anche se un exploit proof-of-concept (PoC) è disponibile da giugno 2023. L’exploit prende di mira l’endpoint /camera-cgi/admin/param.cgi nei dispositivi Edimax, iniettando comandi nell’opzione NTP_serverName come parte dell’opzione ipcamSource di param.cgi.
Metodi di attacco e credenziali predefinite
Nonostante l’uso dell’endpoint richieda autenticazione, è stato scoperto che i tentativi di sfruttamento utilizzano credenziali predefinite (admin:1234) per ottenere accesso non autorizzato. Almeno due varianti del botnet Mirai sono state identificate come sfruttatrici della vulnerabilità, con una di esse che incorpora anche funzionalità anti-debugging prima di eseguire uno script shell che recupera il malware per diverse architetture.
Obiettivi delle campagne di attacco
L’obiettivo finale di queste campagne è quello di radunare i dispositivi infetti in una rete capace di orchestrare attacchi DDoS (Distributed Denial-of-Service) contro obiettivi di interesse tramite i protocolli TCP e UDP. Inoltre, è stato osservato che i botnet sfruttano anche CVE-2024-7214, che colpisce i dispositivi IoT TOTOLINK, e CVE-2021-36220, oltre a una vulnerabilità di Hadoop YARN.
Consigli per gli utenti
In un avviso indipendente pubblicato la scorsa settimana, Edimax ha dichiarato che CVE-2025-1316 colpisce dispositivi legacy che non sono più supportati attivamente e che non ha intenzione di fornire una patch di sicurezza poiché il modello è stato interrotto oltre 10 anni fa. Data l’assenza di una patch ufficiale, si consiglia agli utenti di aggiornare a un modello più recente, evitare di esporre il dispositivo direttamente su internet, cambiare la password admin predefinita e monitorare i log di accesso per eventuali segni di attività insolite.
Conclusionii
Uno dei modi più efficaci per i criminali informatici di iniziare ad assemblare un botnet è quello di prendere di mira firmware poco sicuri e obsoleti su dispositivi più vecchi, ha affermato Akamai. L’eredità di Mirai continua a tormentare le organizzazioni in tutto il mondo poiché la propagazione dei botnet basati su malware Mirai non mostra segni di arresto. Con tutti i tipi di tutorial e codice sorgente liberamente disponibili (e, ora, con l’assistenza dell’IA), creare un botnet è diventato ancora più facile.
Fonte: The Hackers News
