古いIPカメラのゼロデイ脆弱性を悪用するマルウェア(CVE-2024-7029)

2024年8月29日　Akamaiのセキュリティチームが台湾のメーカーAVTECH が提供する古いIPカメラの脆弱性(CVE-2024-7029)を悪用し、Corona Miraiベースのマルウェアを感染させている事を注意喚起しました。米国のCISA(アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁)もアドバイザリーを発表しています。

脆弱性(CVE-2024-7029)の概要

カメラの「明るさ」機能における重大度の高い (CVSS v4 スコア: 8.7) 問題であり、

認証されていない攻撃者が特別に細工されたリクエストを使用してネットワーク経由でコマンドを挿入できるようになります。

この欠陥は、AVM1203 ファームウェア バージョン FullImg-1023-1007-1011-1009 までに影響します。

脆弱性(CVE-2024-7029)を悪用しMirai マルウェアを感染させる

脆弱性(CVE-2024-7029)を悪用し、コマンド インジェクションによってターゲット システムに Mirai の亜種を拡散することが可能です。

このボットネット攻撃は、CVE-2024-7029 以外の複数の脆弱性を標的としており、その中にはAVTECH の脆弱性、Hadoop YARN RCE、CVE-2014-8361、CVE-2017-17215などが含まれています。

これは、古く、優先度が低い可能性が高い脆弱性をパッチ適用されずに悪意のある目的に利用するという、意図が見えます。

Akamai の SIRT チームは、 2024 年 3 月 18 日から、Corona Miraiマルウェアが CVE-2024-7029 を悪用した攻撃を開始し、5 年前に EoL に達したにもかかわらず、まだ使用されている AVM1203 カメラを標的にしていると報告しています。

脆弱性　Hadoop YARN RCE、CVE-2014-8361、CVE-2017-17215の内容

1. CVE-2017-17215 : Huawei ルーターの脆弱性。UPnP サービスの不適切な検証を悪用して、リモートの攻撃者が影響を受けるデバイス上で任意のコマンドを実行できる可能性があります。
2. CVE-2014-8361 : Realtek SDK のリモート コード実行 (RCE) の脆弱性。これは、消費者向けルーターでよく見られます。この欠陥は、これらのルーターで実行されている HTTP サービスを通じて悪用される可能性があります。
3. Hadoop YARN RCE : Hadoop YARN (Yet Another Resource Negotiator) リソース管理システム内の脆弱性。これを悪用すると、Hadoop クラスター上でリモート コード実行が可能になる可能性があります。

脆弱性(CVE-2024-7029)のエクスプロイトコード例

この特定の欠陥に対する概念実証（PoC）エクスプロイトは少なくとも2019年から利用可能でしたが、CVEは今月になって初めて割り当てられ、これまでアクティブなエクスプロイトは確認されていないとのこと。

サポート終了(EOL)の為パッチが提供されない

影響を受けるモデルはベンダーによってサポートされなくなり、2019 年にサポート終了 (EoL) しているので、CVE-2024-7029 に対処するためのパッチは提供されておらず、修正プログラムがリリースされる予定もありません。

古いIPカメラは依然として、世界中で利用されており

・IPカメラの映像を除かれる

・IPカメラを踏み台にして、下流のインフラへ侵入する

・DDOS攻撃の踏み台にする

などの懸念があります。

対策

対象のIPカメラへUTMやファイアウォールを設定するや、特定のIPアドレスのみから接続を許可するなどがありますが、本脆弱性は古いiPカメラの為

モデルを変更する事をお勧めします