Negli ultimi tempi, le minacce informatiche che colpiscono dispositivi IoT sono in costante aumento, e uno degli attacchi più recenti riguarda lo sfruttamento di vulnerabilità critiche nei dispositivi GeoVision ormai fuori supporto e nel server Samsung MagicINFO. Questi attacchi sono finalizzati all’arruolamento dei dispositivi compromessi in una botnet Mirai, utilizzata per condurre attacchi DDoS su vasta scala.

Attacchi ai dispositivi GeoVision: vulnerabilità e modalità di compromissione

A partire da aprile 2025, sono state individuate campagne che sfruttano due vulnerabilità di command injection (CVE-2024-6047 e CVE-2024-11120, entrambe con punteggio CVSS 9.8) nei dispositivi GeoVision. Il vettore di attacco principale è l’endpoint /DateSetting.cgi, dove attraverso il parametro szSrvIpAddr vengono iniettati comandi malevoli. Ciò permette agli attaccanti di eseguire comandi arbitrari e scaricare una versione ARM del malware Mirai denominata LZRD, che trasforma il dispositivo in uno zombie al servizio della botnet.

La botnet Mirai, nel corso del tempo, ha incluso tra i suoi target anche altre vulnerabilità note, come quelle nel framework Hadoop YARN, CVE-2018-10561, e bug riscontrati in dispositivi DigiEver. Questi exploit dimostrano come firmware obsoleti e dispositivi privi di patch rappresentino un obiettivo privilegiato per i cybercriminali, soprattutto quando il produttore non fornisce più aggiornamenti di sicurezza.

Gli utenti che ancora utilizzano dispositivi GeoVision a fine vita sono particolarmente esposti, poiché difficilmente riceveranno nuove patch. La raccomandazione è quella di sostituire tali dispositivi con modelli più recenti e supportati, riducendo così il rischio di compromissione.

Sfruttamento della vulnerabilità in Samsung MagicINFO

Parallelamente, è stata rilevata una nuova ondata di attacchi che sfrutta la vulnerabilità CVE-2024-7399 (CVSS 8.8) in Samsung MagicINFO 9 Server. Questo bug di path traversal permette a un malintenzionato di scrivere file arbitrari sul sistema, potenzialmente portando a una esecuzione remota di codice attraverso l’upload di file JSP appositamente creati. Nonostante il rilascio della patch da parte di Samsung nell’agosto 2024, la pubblicazione di un proof-of-concept a fine aprile 2025 ha facilitato la rapida adozione della tecnica da parte degli attaccanti.

Per mitigare i rischi, è fondamentale aggiornare immediatamente Samsung MagicINFO alla versione 21.1050 o successiva e optare sempre per dispositivi IoT che garantiscano un supporto prolungato e aggiornamenti tempestivi. L’attenzione alla sicurezza dei dispositivi connessi deve diventare una priorità per aziende e privati, considerando la crescente sofisticazione delle botnet e la velocità con cui vengono sfruttate nuove vulnerabilità.