Первые признаки эксплуатации CVE-2025-1316 (CVSS: 9.3) были [АГ1] компания Akamai обнаружила в октябре 2024 года, однако найденный PoC свидетельствует о существовании Zero-Day с июня 2023 года.
В ходе расследования зафиксирована активность нескольких ботнетов, использующих данную уязвимость. Среди них — различные модификации Mirai, а также вредоносные программы, эксплуатирующие помимо CVE-2025-1316 и другие известные уязвимости, включая эксплойт API Docker. В результате атаки устройства становятся частью ботнетов, что создаёт угрозу для их владельцев и может использоваться для атак на инфраструктуру компаний, пишет Securitylab.
Злоумышленники эксплуатируют уязвимость через URI-адрес /camera-cgi/admin/param.cgi. Команды передаются через параметр NTP_serverName, в который внедряется вредоносный код. Для авторизации атакующие используют стандартные учётные данные admin:1234, характерные для устройств Edimax. Проблема затрагивает не только модель IC-7100, упомянутую в отчёте CVE, но и другие устройства производителя.
Атаки фиксировались с мая 2024 года с последующими всплесками активности в сентябре 2024 года, январе и феврале 2025 года. На основе перехваченных запросов SIRT расшифровала полезную нагрузку, которая включает загрузку и выполнение скрипта curl.sh. Скрипт скачивает исполняемые файлы для разных архитектур, включая x86 и ARM. После установки вредонос печатает на консоли строку VagneRHere, сигнализируя о запуске.
Ботнет использует сервер управления angela.spklove[.]com, зарегистрированный в декабре 2024 года. Кроме того, был обнаружен канал в Discord, предположительно связанный с киберпреступниками. Второй ботнет, эксплуатирующий ту же уязвимость, работает аналогично, но его вредоносные файлы имеют префикс «.S». Ботнет также применяет механизмы для обхода антивирусов и активирует антиотладку.
Кроме атак на устройства Edimax, злоумышленники задействуют уязвимости в API Docker, а также эксплуатируют CVE-2024-7214, CVE-2021-36220 и уязвимость в Hadoop YARN. Хакеры используют различные техники атак, включая UDP-флуд, TCP SYN-атаки и эксплойты OpenVPN.
Распространение ботнетов на базе Mirai остаётся серьёзной проблемой. Вредоносный код легко адаптируется, а инструкции по созданию ботнетов доступны в открытом доступе. Основной вектор атаки остаётся неизменным — компрометация устаревших IoT-устройств, для которых отсутствуют обновления безопасности. Edimax уже заявила, что не планирует выпускать исправления для данной модели камер, что оставляет пользователей перед необходимостью замены оборудования.