(https://i.postimg.cc/XvyTZ3jg/botnet.png) (https://postimages.org/)
Una botnet de malware está explotando una vulnerabilidad de día cero en los dispositivos GeoVision que han llegado al final de su vida útil para comprometerlos y reclutarlos para posibles ataques DDoS o de criptominería.
La falla se conoce como CVE-2024-11120 y fue descubierta por Piort Kijewski de The Shadowserver Foundation. Es un problema de inyección de comandos del sistema operativo de gravedad crítica ( puntuación CVSS v3.1: 9,8 ), que permite a atacantes no autenticados ejecutar comandos arbitrarios del sistema en el dispositivo.
"Los atacantes remotos no autenticados pueden explotar esta vulnerabilidad para inyectar y ejecutar comandos arbitrarios del sistema en el dispositivo", advierte el CERT de Taiwán.
"Además, esta vulnerabilidad ya ha sido explotada por atacantes y hemos recibido informes relacionados".
Según TWCERT, la vulnerabilidad afecta a los siguientes modelos de dispositivos:
GV-VS12: Un servidor de video H.264 de 2 canales que convierte señales de video analógicas en transmisiones digitales para transmisión en red.
GV-VS11: Un servidor de video de un solo canal diseñado para digitalizar video analógico para transmisión en red.
GV-DSP LPR V3: Un sistema basado en Linux dedicado al reconocimiento de matrículas (LPR).
GV-LX4C V2 / GV-LX4C V3: Grabadoras de video digitales compactas (DVR) diseñadas para aplicaciones de vigilancia móvil.
Todos estos modelos han llegado al final de su vida útil y ya no cuentan con soporte del proveedor, por lo que no se esperan actualizaciones de seguridad.
La plataforma de monitoreo de amenazas The Shadowserver Foundation informa que aproximadamente 17,000 dispositivos GeoVision están expuestos en línea y son vulnerables a la falla CVE-2024-11120.
Kijewski dijo a BleepingComputer que la botnet parece ser una variante de Mirai, que generalmente se utiliza como parte de plataformas DDoS o para realizar criptominería.
La mayoría de los dispositivos expuestos (9.100) se encuentran en Estados Unidos, seguidos de Alemania (1.600), Canadá (800), Taiwán (800), Japón (350), España (300) y Francia (250).
Ubicación de los dispositivos GeoVision expuestos
(https://i.postimg.cc/Xv6Q1kVp/exposed-Geo-Vision-devices.png) (https://postimg.cc/jDvHLNnb)
En general, los signos de que existe una botnet está incluyen dispositivos que se calientan excesivamente, se vuelven lentos o no responden y se modifica su configuración de manera arbitraria.
Si nota alguno de estos síntomas, restablezca el dispositivo, cambie la contraseña de administrador predeterminada por una más segura, desactive los paneles de acceso remoto y coloque el dispositivo detrás de un firewall.
Lo ideal es reemplazar estos dispositivos con modelos con soporte activo, pero si eso es imposible, se los debe aislar en una LAN o subred dedicada y monitorearlos de cerca.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/botnet-exploits-geovision-zero-day-to-install-mirai-malware/