Los actores de amenazas están explotando una rotura de seguridad sin parpadear con la cámara de red EDIMAX IC-7100 para entregar variantes de malware Mirat Botnet desde al menos mayo de 2024.
La vulnerabilidad en cuestión es CVE-2025-1316 (puntaje CVSS V4: 9.3), una rotura crítica de inyección de comando del sistema activo que un atacante podría explotar para obtener la ejecución del código remoto en dispositivos susceptibles mediante una solicitud especialmente elaborada.
La compañía de infraestructura y seguridad web Akamai dijo que el primer intento de exploit dirigido a la rotura se remonta a mayo de 2024, aunque una exploit de prueba de concepto (POC) ha estado habitable públicamente desde junio de 2023.
“El Exploit se dirige a /camera-cgi/admin/param.cgi en el punto final en dispositivos edimax e inyecta comandos en la opción NTP_SERVERNAME como parte de la opción IPCAMSource de Param.cgi”, dijeron los investigadores de Akamai Kyle Lefton y Larry Cashdollar.
Si proporcionadamente el armamento del punto final requiere autenticación, se ha antagónico que los intentos de explotación están utilizando credenciales predeterminadas (Admin: 1234) para obtener llegada no acreditado.
Se han identificado al menos dos variantes diferentes de Botnet de Mirai como explotando la vulnerabilidad, y una de ellas igualmente incorpora la funcionalidad anti-debugging antaño de ejecutar un script de shell que recupere el malware para diferentes arquitecturas.
El objetivo final de estas campañas es asediar los dispositivos infectados en una red capaz de orquestar ataques distribuidos de denegación de servicio (DDoS) contra objetivos de interés sobre los protocolos TCP y UDP.
Encima, se han observado los botnets explotando CVE-2024-7214, que afecta a los dispositivos Totolink IoT, y CVE-2021-36220, y una vulnerabilidad de hilo Hadoop.
En un aviso independiente publicado la semana pasada, Edimax dijo que el CVE-2025-1316 afecta a los dispositivos heredados que ya no son compatibles activamente y que no tiene planes de proporcionar un parche de seguridad ya que el maniquí se suspendió hace más de 10 primaveras.
Dada la marcha de un parche oficial, se aconseja a los usuarios que actualicen a un maniquí más nuevo, o eviten exponer el dispositivo directamente a través de Internet, cambie la contraseña de administrador predeterminada y controlen los registros de llegada para cualquier signo de actividad inusual.
“Una de las formas más efectivas para que los ciberdelincuentes comiencen a ensamblar un botonadura es apuntar a un firmware mal asegurado y anticuado en dispositivos más antiguos”, dijo Akamai.
“El representante de Mirai continúa afectando a las organizaciones de todo el mundo como la propagación de Botnets basados en malware de Mirai no muestra signos de detención. Con todo tipo de tutoriales y código fuente disponibles autónomamente (y ahora, con amparo de IA) rodar un botonadura se ha vuelto aún más factible”.
