Aktívne zneužívaná kritická zraniteľnosť zariadení GeoVision

Viacero produktov spoločnosti GeoVision s ukončenou podporou zneužívajú útočníci pre variant botnetu MIRAI. Infekcia prebieha po zneužití kritickej zraniteľnosti, ktorá umožňuje vykonávanie systémových príkazov bez autentifikácie.

Zraniteľné systémy:

• GV-VS12
• GV-VS11
• GV-DSP_LPR_V3
• GVLX 4 V2
• GVLX 4 V3

Opis činnosti:

CVE-2024-11120 (CVSS skóre 9,8)

Útočníci aktívne zneužívajú zero-day zraniteľnosť produktov GeoVision GV-VS12, GV-VS11, GV-DSP LPR V3, GV-LX4C V2 a GV-LX4C V3 s ukončenou technickou podporou na ich infekciu a zapojenie do variantu botnetu MIRAI, ktorý slúži pre realizáciu DDoS útokov a ťažbu kryptomien. Kritickú zraniteľnosť s označením CVE-2024-11120 by vzdialený neautentifikovaný útočník mohol zneužiť na injekciu a vykonávanie systémových príkazov a získanie úplnej kontroly nad zariadením. Nakoľko sa jedná o produkty s ukončenou podporou, výskumníci odporúčajú prechod na alternatívne produkty alebo limitovať prístup k zraniteľným systémom prostredníctvom sieťových a bezpečnostných prvkov.

Možné škody:

• Vykonávanie ľubovoľných príkazov
• Získanie kontroly nad zariadením

Odporúčania:

Zraniteľné zariadenia už výrobca nepodporuje, preto odporúčame bezodkladnú výmenu za podporované alternatívy.

Odkazy:

• https://www.twcert.org.tw/en/cp-139-8237-26d7a-2.html
• https://nvd.nist.gov/vuln/detail/CVE-2024-11120
• https://x.com/Shadowserver/status/1857356335605530952