Ciberseguridad 360 | Vulnerabilidad en cámaras Edimax explotada en ataques de la botnet Mirai

Un fallo de seguridad sin parchear que afecta a la c�mara de red Edimax IC-7100 est� siendo explotado por actores de amenazas para distribuir variantes del malware de botnet Mirai desde al menos mayo de 2024.

La vulnerabilidad en cuesti�n es CVE-2025-1316 (puntuaci�n CVSS v4: 9,3), un fallo cr�tico de inyecci�n de comandos del sistema operativo que un atacante podr�a aprovechar para lograr la ejecuci�n remota de c�digo en dispositivos susceptibles mediante una solicitud especialmente dise�ada.

La empresa de seguridad e infraestructura Web Akamai afirma que el primer intento de explotaci�n de este fallo se remonta a mayo de 2024, aunque una prueba de concepto (PoC) est� disponible p�blicamente desde junio de 2023.

"El exploit tiene como objetivo el endpoint /camera-cgi/admin/param.cgi en los dispositivos Edimax, e inyecta comandos en la opci�n NTP_serverName como parte de la opci�n ipcamSource de param.cgi", dijeron los investigadores de Akamai Kyle Lefton y Larry Cashdollar.

Mientras que el armamento del endpoint requiere autenticaci�n, se ha descubierto que los intentos de explotaci�n est�n haciendo uso de las credenciales por defecto (admin:1234) para obtener acceso no autorizado.

Se han identificado al menos dos variantes diferentes de la red de bots Mirai que aprovechan la vulnerabilidad, y una de ellas tambi�n incorpora una funcionalidad antidepuraci�n antes de ejecutar un script de shell que recupera el malware para diferentes arquitecturas.

El objetivo final de estas campa�as es acorralar los dispositivos infectados en una red capaz de orquestar ataques distribuidos de denegaci�n de servicio (DDoS) contra objetivos de inter�s a trav�s de protocolos TCP y UDP.

Adem�s, se ha observado que las redes de bots explotan CVE-2024-7214, que afecta a los dispositivos IoT TOTOLINK, y CVE-2021-36220, as� como una vulnerabilidad de Hadoop YARN.

En un aviso independiente publicado la semana pasada, Edimax afirm� que la CVE-2025-1316 afecta a dispositivos heredados que ya no reciben soporte activo y que no tiene previsto proporcionar un parche de seguridad, ya que el modelo se dej� de fabricar hace m�s de 10 a�os.

Dada la ausencia de un parche oficial, se recomienda a los usuarios actualizar el dispositivo a un modelo m�s reciente o evitar exponerlo directamente a trav�s de Internet, cambiar la contrase�a de administrador predeterminada y supervisar los registros de acceso para detectar cualquier signo de actividad inusual.

"Una de las formas m�s efectivas para que los ciberdelincuentes comiencen a montar una botnet es atacar el firmware mal protegido y obsoleto de los dispositivos m�s antiguos", dijo Akamai.

"El legado de Mirai sigue acosando a las organizaciones de todo el mundo, ya que la propagaci�n de redes de bots basadas en el malware Mirai no muestra signos de detenerse. Con todo tipo de tutoriales y c�digo fuente disponibles gratuitamente (y, ahora, con la ayuda de la IA) hacer girar una botnet se ha vuelto a�n m�s f�cil."

Fuente: thehackernews