Cacat keamanan yang tidak ditandingi yang berdampak pada kamera jaringan EDIMAX IC-7100 sedang dieksploitasi oleh aktor ancaman untuk memberikan varian malware Mirat botnet sejak setidaknya Mei 2024.
Kerentanan yang dimaksud adalah CVE-2025-1316 (skor CVSS V4: 9.3), cacat injeksi perintah sistem operasi yang kritis yang dapat dieksploitasi oleh penyerang untuk mencapai eksekusi kode jarak jauh pada perangkat yang rentan melalui permintaan yang dibuat secara khusus.
Perusahaan Infrastruktur dan Keamanan Web Akamai mengatakan upaya eksploitasi paling awal yang menargetkan tanggal cacat pada Mei 2024, meskipun eksploitasi Proof-of-Concept (POC) telah tersedia untuk umum sejak Juni 2023.
“Eksploitasi menargetkan titik akhir /camera-cgi/admin/param.cgi di perangkat EDIMAX, dan menyuntikkan perintah ke dalam opsi NTP_Servername sebagai bagian dari opsi IPCamSource Param.cgi,” kata peneliti Akamai Kyle Lefton dan Larry Cashdollar.
Sementara mempersenjatai titik akhir membutuhkan otentikasi, telah ditemukan bahwa upaya eksploitasi memanfaatkan kredensial default (admin: 1234) untuk mendapatkan akses yang tidak sah.
Setidaknya dua varian Mirai botnet yang berbeda telah diidentifikasi sebagai mengeksploitasi kerentanan, dengan salah satunya juga menggabungkan fungsionalitas anti-debugging sebelum menjalankan skrip shell yang mengambil malware untuk arsitektur yang berbeda.
Tujuan akhir dari kampanye ini adalah untuk mengorral perangkat yang terinfeksi ke dalam jaringan yang mampu mengatur serangan penolakan terdistribusi (DDOS) terhadap target minat atas protokol TCP dan UDP.
Selain itu, botnet telah diamati mengeksploitasi CVE-2024-7214, yang mempengaruhi perangkat IoT totolink, dan CVE-2021-36220, dan kerentanan benang hadoop.
Dalam penasihat independen yang diterbitkan pekan lalu, Edimax mengatakan CVE-2025-1316 memengaruhi perangkat warisan yang tidak lagi didukung secara aktif dan tidak memiliki rencana untuk memberikan tambalan keamanan karena model tersebut dihentikan lebih dari 10 tahun yang lalu.
Mengingat tidak adanya tambalan resmi, pengguna disarankan untuk meningkatkan ke model yang lebih baru, atau menghindari mengekspos perangkat langsung melalui Internet, mengubah kata sandi admin default, dan memantau log akses untuk setiap tanda -tanda aktivitas yang tidak biasa.
“Salah satu cara paling efektif bagi penjahat cyber untuk mulai menyusun botnet adalah dengan menargetkan firmware yang tidak diamankan dan ketinggalan zaman pada perangkat yang lebih tua,” kata Akamai.
“Warisan Mirai terus mengganggu organisasi -organisasi di seluruh dunia sebagai penyebaran botnet berbasis malware Mirai tidak menunjukkan tanda -tanda berhenti. Dengan segala macam tutorial dan kode sumber yang tersedia secara bebas (dan, sekarang, dengan bantuan AI) memutar botnet menjadi lebih mudah.”
