Segundo um alerta do CERT de Taiwan, um botnet explora falha zero-day do GeoVision e instala malware Mirai.
GeoVision é uma empresa especializada em soluções de segurança e vigilância por vídeo.
Ela é reconhecida por desenvolver uma ampla gama de produtos e softwares para monitoramento, que incluem câmeras IP, sistemas de gravação em rede (NVRs), e softwares de análise de vídeo.
Os sistemas da GeoVision são usados para criar redes de segurança robustas em locais como empresas, residências, prédios públicos e instalações industriais.
Os produtos da GeoVision oferecem funcionalidades avançadas, como reconhecimento facial, detecção de movimento e análise de comportamento, ajudando na identificação de situações suspeitas e na resposta rápida a eventos de segurança.
A integração com sistemas de gerenciamento e a flexibilidade na instalação tornam as soluções da GeoVision adequadas para projetos personalizados em diferentes escalas e complexidades.
Agora, um botnet de malware está explorando uma vulnerabilidade zero-day em dispositivos GeoVision em fim de vida para comprometê-los e recrutá-los para prováveis ataques DDoS ou criptomineração.
Botnet explora falha zero-day do GeoVision e instala malware
Sim. Um Botnet explora falha zero-day do GeoVision e instala malware. A falha é rastreada como CVE-2024-11120 e foi descoberta por Piort Kijewski da The Shadowserver Foundation.
É um problema de injeção de comando do sistema operacional de gravidade crítica (pontuação CVSS v3.1: 9,8), permitindo que invasores não autenticados executem comandos arbitrários do sistema no dispositivo.
“Atacantes remotos não autenticados podem explorar essa vulnerabilidade para injetar e executar comandos arbitrários do sistema no dispositivo”, alerta o CERT de Taiwan.
“Além disso, essa vulnerabilidade já foi explorada por invasores, e recebemos relatórios relacionados.”
De acordo com o TWCERT, a vulnerabilidade afeta os seguintes modelos de dispositivos:
- GV-VS12: Um servidor de vídeo H.264 de 2 canais que converte sinais de vídeo analógicos em fluxos digitais para transmissão de rede.
- GV-VS11: Um servidor de vídeo de canal único projetado para digitalizar vídeo analógico para streaming de rede.
- GV-DSP LPR V3: Um sistema baseado em Linux dedicado ao reconhecimento de placas de veículos (LPR).
- GV-LX4C V2/GV-LX4C V3: Gravadores de vídeo digitais compactos (DVRs) projetados para aplicativos de vigilância móvel.
Todos esses modelos chegaram ao fim da vida útil e não são mais suportados pelo fornecedor, portanto, nenhuma atualização de segurança é esperada.
A plataforma de monitoramento de ameaças The Shadowserver Foundation relata que aproximadamente 17.000 dispositivos GeoVision estão expostos on-line e são vulneráveis à falha CVE-2024-11120.
Kijewski disse ao BleepingComputer que a botnet parece ser uma variante do Mirai, que geralmente é usada como parte de plataformas DDoS ou para executar criptomineração.
A maioria dos dispositivos expostos (9.100) está nos Estados Unidos, seguidos pela Alemanha (1.600), Canadá (800), Taiwan (800), Japão (350), Espanha (300) e França (250).
Em geral, os sinais de comprometimento da botnet incluem dispositivos esquentando excessivamente, ficando lentos ou sem resposta e tendo sua configuração alterada arbitrariamente.
Se você notar algum desses sintomas, reinicie o dispositivo, altere a senha de administrador padrão para algo forte, desligue os painéis de acesso remoto e coloque o dispositivo atrás de um firewall.
O ideal é que esses dispositivos sejam substituídos por modelos com suporte ativo, mas se isso for impossível, eles devem ser isolados em uma LAN ou sub-rede dedicada e monitorados de perto.