GeoVision物联网设备遭到锁定，僵尸网络利用已知漏洞渗透

僵尸网络绑架老旧联网设备的情况层出不穷，原因是这些产品的供应商已经终止支持（EOL），即使研究人员发现漏洞，厂商往往不会修补，而成为攻击者能持续利用的标的。

例如，近期安全企业Akamai发现的Mirai僵尸网络变种LZRD攻击行动，就是典型的例子。研究人员在今年4月，通过蜜罐陷阱发现LZRD锁定奇偶科技（GeoVision）物联网设备而来，积极利用命令注入漏洞CVE-2024-6047、CVE-2024-11120。由于这两项已知的安全漏洞，存在于已终止支持的视频主机、车牌识别系统、IP摄影机、DVR设备，因此，奇偶并未对这些产品提供安全性修补，而是呼吁用户更换设备，但看在攻击者眼里，上述状况却是可乘之机。

这两个弱点都是命令注入漏洞，起因是在特定的功能其中，对于用户输入不当过滤造成，未经身份验证的攻击者有机会远程触发漏洞，并于目标设备注入并执行任意系统命令，CVSS风险皆达到9.8分。CVE-2024-6047于去年6月披露，由国家资通安全研究院发现及通报，影响超过20款设备；另一个漏洞CVE-2024-11120，则由Shadowserver基金会于11月通报，当时已有攻击行动出现。

不过，研究人员强调，奇偶设备并非唯一被锁定的产品，还包括台厂永恒数字通信科技（Digiever）网络视频监视设备（NVR）DS-2105 Pro、中国中兴（ZTE）路由器ZXV10 H108L、韩国Dasan Networks旗下的GPON路由器，以及Hadoop YARN，攻击者都利用这些设备的已知漏洞下手。