Se ha observado que los actores de amenazas explotan activamente fallas de seguridad en los dispositivos de Internet de las cosas (EOL) de Geovisión (IoT) para acorralarlos en una botnet Mirai para realizar ataques distribuidos de incapacidad de servicio (DDoS).
La actividad, observada por primera vez por el Equipo de Inteligencia y Respuesta de Seguridad de Akamai (SIRT) a principios de abril de 2025, implica la explotación de dos fallas de inyección de comandos del sistema eficaz (CVE-2024-6047 y CVE-2024-11120, puntajes CVSS: 9.8) que podrían estilarse para ejecutar los comandos del sistema subjetivo.
“El Exploit se dirige al punto final /datesetting.cgi en dispositivos IoT de Geovisión, e inyecta comandos en el parámetro Szsrvipaddr”, dijo el investigador de Akamai, Kyle Lefton, en un documentación compartido con Hacker News.
En los ataques detectados por la compañía de seguridad e infraestructura web, se ha enemigo que Botnet inyectaba comandos para descargar y ejecutar una traducción ARM del Mirai Malware llamado LZRD.
Algunas de las vulnerabilidades explotadas por la botnet incluyen una vulnerabilidad de hilo Hadoop, CVE-2018-10561 y un digiever que afectó el error que se destacó en diciembre de 2024.
Hay alguna evidencia que sugiere que la campaña se superpone con la actividad previamente registrada bajo el nombre infectado.
“Una de las formas más efectivas para que los ciberdelincuentes comiencen a ensamblar un retoño es apuntar a un firmware mal asegurado y anticuado en dispositivos más antiguos”, dijo Lefton.
“Hay muchos fabricantes de hardware que no emiten parches para dispositivos retirados (en algunos casos, el fabricante en sí puede estar desaparecido)”.
Transmitido que es poco probable que los dispositivos de geovisión afectados reciban nuevos parches, se recomienda que los usuarios se actualicen a un maniquí más nuevo para asegurar contra posibles amenazas.
Samsung MagicInfo Flaw explotado en ataques de Mirai
La divulgación se produce cuando Arctic Wolf y el Sans Technology Institute advirtieron sobre la explotación activa del CVE-2024-7399 (CVSS Score: 8.8), una descompostura transversal de ruta en el servidor Samsung MagicInfo 9 que podría permitir a un atacante escribir archivos arbitrarios como autoridad del sistema, para entregar el Botnet de Mirai.
Si correctamente Samsung abordó el problema en agosto de 2024, desde entonces ha sido armado por los atacantes luego de la independencia de una prueba de concepto (POC) el 30 de abril de 2025, para recuperar y ejecutar un script de shell responsable de descargar la botnet.
“La vulnerabilidad permite la redacción arbitraria de archivos por parte de usuarios no autenticados, y en última instancia puede conducir a la ejecución de código remoto cuando la vulnerabilidad se usa para escribir archivos de Javaserver Pages (JSP) especialmente elaborados”, dijo Arctic Wolf.
Se recomienda a los usuarios que actualicen sus instancias a la traducción 21.1050 y luego para mitigar el impacto eficaz potencial.
