HackerNews 编译,转载请注明出处:
网络安全威胁动态:攻击者利用停产物联设备漏洞构建Mirai僵尸网络
安全研究人员发现,网络犯罪分子正利用已停产的GeoVision物联网(IoT)设备中的安全漏洞,将其纳入Mirai僵尸网络以发动分布式拒绝服务(DDoS)攻击。
据Akamai安全情报与响应团队(SIRT)于2025年4月初首次披露,该攻击活动通过利用两个操作系统命令注入漏洞(CVE-2024-6047和CVE-2024-11120,CVSS评分均为9.8)实现任意系统命令执行。
“攻击者针对GeoVision设备中的/DateSetting.cgi接口,通过szSrvIpAddr参数注入恶意指令,”Akamai研究员Kyle Lefton在接受《黑客新闻》采访时表示。该僵尸网络在攻击中会下载并执行名为LZRD的ARM架构Mirai变种木马。
此次攻击还涉及多个历史漏洞的复合利用,包括2018年披露的Hadoop YARN漏洞(CVE-2018-10561)以及2024年12月曝光的DigiEver系统缺陷。部分证据表明,该活动与名为“InfectedSlurs”的黑客组织存在关联。
Lefton强调:“攻击者惯于通过未及时更新的老旧设备快速组建僵尸网络。许多硬件厂商对停产品种不再提供安全补丁,部分厂商甚至已停止运营。”鉴于受影响GeoVision设备已无官方支持,建议用户升级至新型号以规避风险。
与此同时,Arctic Wolf与SANS技术研究院联合披露,三星MagicINFO 9服务器路径遍历漏洞(CVE-2024-7399,CVSS 8.8)正被用于Mirai僵尸网络传播。该漏洞允许未授权攻击者以系统权限写入任意文件,包括可触发远程代码执行的恶意JSP文件。
尽管三星已于2024年8月发布修复补丁,但2025年4月30日公开的概念验证(PoC)代码导致攻击激增。攻击者通过漏洞植入shell脚本,实现僵尸网络的自动化下载与部署。
Arctic Wolf建议用户将系统升级至21.1050及以上版本以消除安全隐患。此次事件再次凸显物联网设备全生命周期安全管理的重要性,特别是对停产品种的持续风险监控。
消息来源: thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
