Gli attori delle minacce sono stati osservati che sfruttano attivamente i difetti di sicurezza nei dispositivi di Web of Issues di GeoVision Finish-of-Life (IoT) per metterli a correre in a Mirai Botnet per condurre attacchi di negazione distribuita del servizio (DDOS).
L’attività, osservata per la prima volta dall’Akamai Safety Intelligence and Response Workforce (SIRT) all’inizio di aprile 2025, prevede lo sfruttamento di due difetti di iniezione del comando del sistema operativo (CVE-2024-6047 E CVE-2024-11120Punteggi CVSS: 9.8) che potrebbero essere utilizzati per eseguire comandi di sistema arbitrari.
“L’exploit prende di mira l’endpoint /datesting.cgi in dispositivi IoT GeoVision e inietta comandi nel parametro SZSRVIPADDR”, ricercatore di Akamai Kyle Left disse In un rapporto condiviso con le notizie di Hacker.
Negli attacchi rilevati dalla società Internet Safety and Infrastructure, la botnet è stata trovata iniettando comandi per scaricare ed eseguire una versione ARM del malware Mirai chiamato Lzrd.
Alcune delle vulnerabilità sfruttate dalla botnet includono una vulnerabilità del filato Hadoop, CVE-2018-10561 e un bug che ha un impatto su Digiever che period evidenziato nel dicembre 2024.
Ci sono alcune show che suggeriscono che la campagna sovrapposizioni con attività precedentemente registrata con il nome infetto.
“Uno dei modi più efficaci per i criminali informatici per iniziare a assemblare una botnet è quello di colpire il firmware scarsamente protetto e obsoleto su dispositivi più vecchi”, ha affermato Lefton.
“Esistono molti produttori di {hardware} che non emettono patch per dispositivi in pensione (in alcuni casi, il produttore stesso può essere defunto).”
Dato che è improbabile che i dispositivi GeoVision interessati ricevano nuove patch, si raccomanda agli utenti di passare a un modello più recente per salvaguardare da potenziali minacce.
Samsung Magicinfo Flaw sfruttato negli attacchi di Mirai
La divulgazione arriva come Lupo artico e il Sans Expertise Institute avvertito di sfruttamento attivo di CVE-2024-7399 (Punteggio CVSS: 8.8), un difetto di attraversamento del percorso nel server Samsung MagicInfo 9 che potrebbe consentire a un utente malintenzionato di scrivere file arbitrari come autorità di sistema, per fornire la botnet Mirai.
Mentre il problema period indirizzato di Samsung nell’agosto 2024, da allora è stato armato dagli aggressori in seguito al pubblicazione di una prova del concetto (POC) il 30 aprile 2025, per recuperare ed eseguire uno script di shell responsabile del obtain della botnet.
“La vulnerabilità consente la scrittura di file arbitrari da utenti non autenticati e alla wonderful può portare all’esecuzione del codice remoto quando la vulnerabilità viene utilizzata per scrivere file Javaserver Pages (JSP) appositamente realizzati”, ha detto Arctic Wolf.
Gli utenti sono consigliati di aggiornare le loro istanze alla versione 21.1050 e successivamente per mitigare il potenziale impatto operativo.
