Una vulnerabilità di sicurezza non risolta che colpisce la telecamera di rete Edimax IC-7100 è attualmente sfruttata da attori malevoli per distribuire varianti del malware Mirai botnet, con attacchi che risalgono a maggio 2024. Questa falla, identificata come CVE-2025-1316, è una vulnerabilità di tipo command injection nel sistema operativo che potrebbe consentire a un attaccante di eseguire codice remoto sui dispositivi vulnerabili attraverso una richiesta appositamente predisposta. L'infrastruttura web e la società di sicurezza Akamai hanno rilevato che il primo tentativo di exploit per questa falla risale a maggio 2024, nonostante un proof-of-concept (PoC) sia pubblicamente disponibile da giugno 2023.

Dettagli sugli exploit

Gli exploit mirano al punto finale /camera-cgi/admin/param.cgi nei dispositivi Edimax, iniettando comandi nell'opzione NTP_serverName come parte dell'opzione ipcamSource di param.cgi. Anche se l'armaizzazione di questo punto finale richiede autenticazione, è stato scoperto che i tentativi di sfruttamento utilizzano credenziali predefinite (admin:1234) per ottenere accesso non autorizzato. Sono state identificate almeno due varianti di Mirai botnet che sfruttano questa vulnerabilità, e una di queste incorpora anche una funzionalità di anti-debugging prima di eseguire uno script shell che recupera il malware per diverse architetture.

Obiettivi delle campagne

L'obiettivo finale di queste campagne è quello di arruolare i dispositivi infetti in una rete capace di orchestrare attacchi di tipo Distributed Denial-of-Service (DDoS) contro bersagli di interesse tramite protocolli TCP e UDP. Inoltre, è stato osservato che queste botnet sfruttano anche CVE-2024-7214, che interessa dispositivi IoT di TOTOLINK, CVE-2021-36220, e una vulnerabilità di Hadoop YARN.

Risposta di Edimax

In un avviso indipendente pubblicato la scorsa settimana, Edimax ha dichiarato che CVE-2025-1316 colpisce dispositivi legacy che non sono più supportati attivamente e che non ha intenzione di fornire una patch di sicurezza poiché il modello è stato dismesso oltre dieci anni fa.

Raccomandazioni agli utenti

Data l'assenza di una patch ufficiale, agli utenti viene consigliato di aggiornare a un modello più recente, evitare di esporre il dispositivo direttamente su internet, cambiare la password admin predefinita e monitorare i registri di accesso per qualsiasi segno di attività insolita. Akamai ha sottolineato che uno dei modi più efficaci per i cybercriminali di iniziare a assemblare una botnet è quello di sfruttare firmware poco sicuri e obsoleti su dispositivi più vecchi. La persistenza del malware Mirai continua a colpire le organizzazioni a livello globale, dato che la propagazione di botnet basate su malware Mirai non mostra segni di arrestarsi.