Aktor-aktor ancaman telah diamati secara aktif mengeksploitasi kelemahan keamanan di perangkat internet akhir-kehidupan Geovision (EOL) (IoT) untuk mengikat mereka menjadi botnet mirai untuk melakukan serangan penolakan (DDOS) yang didistribusikan.
Kegiatan, pertama kali diamati oleh Tim Akama Keamanan Intelijen dan Respons (SIRT) pada awal April 2025, melibatkan eksploitasi dua cacat injeksi komando sistem operasi (CVE-2024-6047 dan CVE-2024-11120, skor CVSS: 9.8) yang dapat digunakan untuk menjalankan perintah sistem arbitrary.
“Eksploitasi menargetkan titik akhir /datesetting.cgi di perangkat Geovision IoT, dan menyuntikkan perintah ke dalam parameter SZSRVIPADDR,” kata peneliti Akamai Kyle Lefton dalam sebuah laporan yang dibagikan dengan berita peretas.
Dalam serangan yang terdeteksi oleh Web Security and Infrastructure Company, botnet telah ditemukan menyuntikkan perintah untuk mengunduh dan menjalankan versi ARM dari malware Mirai yang disebut LZRD.
Beberapa kerentanan yang dieksploitasi oleh botnet termasuk kerentanan benang Hadoop, CVE-2018-10561, dan bug yang berdampak pada digiever yang disorot pada Desember 2024.
Ada beberapa bukti yang menunjukkan bahwa kampanye tumpang tindih dengan aktivitas yang direkam sebelumnya dengan nama InfectedSlurs.
“Salah satu cara paling efektif bagi penjahat cyber untuk mulai menyusun botnet adalah dengan menargetkan firmware yang kurang aman dan ketinggalan zaman pada perangkat yang lebih lama,” kata Lefton.
“Ada banyak produsen perangkat keras yang tidak mengeluarkan tambalan untuk perangkat pensiunan (dalam beberapa kasus, produsen itu sendiri mungkin mati).”
Mengingat bahwa perangkat Geovision yang terpengaruh tidak mungkin menerima tambalan baru, disarankan agar pengguna meningkatkan ke model yang lebih baru untuk melindungi terhadap potensi ancaman.
Samsung Magicinfo Flaw yang dieksploitasi dalam serangan Mirai
Pengungkapan itu datang sebagai Arctic Wolf dan Sans Technology Institute memperingatkan eksploitasi aktif CVE-2024-7399 (skor CVSS: 8.8), cacat traversal jalur dalam server Samsung MagicInfo 9 yang dapat memungkinkan penyerang untuk menulis file yang sewenang-wenang sebagai otoritas sistem, untuk mengirimkan botnet Mirai.
Sementara masalah ini ditangani oleh Samsung pada Agustus 2024, sejak itu telah dipersenjatai oleh penyerang setelah rilis Proof-of-Concept (POC) pada 30 April 2025, untuk mengambil dan menjalankan skrip shell yang bertanggung jawab untuk mengunduh botnet.
“Kerentanan memungkinkan untuk penulisan file yang sewenang -wenang oleh pengguna yang tidak terau otentikasi, dan pada akhirnya dapat mengarah pada eksekusi kode jarak jauh ketika kerentanan digunakan untuk menulis file halaman javaserver (JSP) yang dibuat khusus,” kata Arctic Wolf.
Pengguna disarankan untuk memperbarui instance mereka ke versi 21.1050 dan kemudian untuk mengurangi potensi dampak operasional.
