Mirai 恶意软件借 Edimax 相机 RCE 漏洞大肆传播 - 嘶吼 RoarTalk – 网络安全行业综合服务平台,4hou.com

Mirai 恶意软件借 Edimax 相机 RCE 漏洞大肆传播

山卡拉 新闻 2025-03-17 10:42:15
43086
收藏

导语:Akamai 安全情报和响应团队(SIRT)近期发布警报,着重指出 Edimax 物联网(IoT)设备中存在严重的命令注入漏洞。

docswap malware(19)-1.jpg

Akamai 安全情报和响应团队(SIRT)近期发布警报,着重指出 Edimax 物联网(IoT)设备中存在严重的命令注入漏洞。该漏洞被编号为 CVE - 2025 - 1316,已被多个僵尸网络频繁利用,用于传播臭名昭著的 Mirai 恶意软件。Mirai 恶意软件向来以危害物联网设备、发动分布式拒绝服务(DDoS)攻击而闻名。

漏洞概述

CVE - 2025 - 1316 漏洞主要针对 Edimax 设备中的 /camera - cgi/admin/param.cgi 端点,攻击者能够借此将命令注入到 ipcamSource 参数内的 NTP_serverName 选项中。成功利用该漏洞需要使用默认凭据,例如 admin:1234。虽然 CVE 特别提及 Edimax 的 IC - 7100 网络摄像头,但实际上该漏洞可能影响范围更广的 Edimax 设备。

Akamai SIRT 早在 2024 年 10 月初就在蜜罐中首次检测到针对此漏洞的攻击活动。

image-5.jpeg

Mirai恶意软件样本主要功能

而该漏洞的概念验证(PoC)可追溯至 2023 年 6 月。最早的漏洞利用尝试出现在 2024 年 5 月,在 2024 年 9 月以及 2025 年 1 月至 2 月期间达到高峰。这些攻击源于不同的僵尸网络,其中就包括 Mirai 变种。

漏洞代码示例

此漏洞通过注入命令,在设备上执行 shell 脚本。以下是一个请求负载示例:

image.png

上述脚本会下载并执行针对 ARM、MIPS 和 x86 等不同架构的 Mirai 恶意软件变体。

恶意软件执行命令

恶意软件下载完成后,将通过以下命令执行:

image.png

类似的命令也用于 MIPS 和 ARM 等其他架构。

Mirai 僵尸网络

目前已发现两个不同的僵尸网络利用此漏洞:

· 第一个僵尸网络:该僵尸网络利用漏洞下载并执行 curl.sh 脚本,通过 angela.spklove [.] com 和端口 3093 与命令和控制(C2)服务器进行通信。恶意软件执行时会打印 “VagneRHere”。

· 第二个僵尸网络:此僵尸网络下载并运行 wget.sh 脚本,进而执行 Mirai 恶意软件。该恶意软件具备反调试功能,执行时会打印 “Hello, World!”。

这两个僵尸网络还利用了其他几个已知漏洞,如 Docker API 漏洞以及影响 TOTOLINK 设备的 CVE - 2024 - 7214。

缓解措施和建议

为有效防范这些威胁,可采取以下措施:

· 升级设备:将过时或易受攻击的设备更换为较新的型号。

· 更改默认凭证:务必确保所有设备都设置强大且唯一的密码。

· 监控网络:密切留意可疑活动,如异常的流量模式。

· 实施安全措施:利用防火墙和入侵检测系统,阻止攻击尝试。

鉴于 Mirai 恶意软件对物联网安全的持续威胁,及时了解相关信息并主动采取防范措施,对于保护物联网设备至关重要。

本文翻译自:https://gbhackers.com/edimax-camera-rce-vulnerability/如若转载,请注明原文地址
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论

 
本站4hou.com,所使用的字体和图片文字等素材部分来源于原作者或互联网共享平台。如使用任何字体和图片文字有侵犯其版权所有方的,嘶吼将配合联系原作者核实,并做出删除处理。
©2024 北京嘶吼文化传媒有限公司 京ICP备16063439号-1 本站由 提供云计算服务