僵尸网络绑架老旧联网设备的情况层出不穷,原因是这些产品的供应商已经终止支持(EOL),即使研究人员发现漏洞,厂商往往不会修补,而成为攻击者能持续利用的标的。
例如,近期安全企业Akamai发现的Mirai僵尸网络变种LZRD攻击行动,就是典型的例子。研究人员在今年4月,通过蜜罐陷阱发现LZRD锁定奇偶科技(GeoVision)物联网设备而来,积极利用命令注入漏洞CVE-2024-6047、CVE-2024-11120。由于这两项已知的安全漏洞,存在于已终止支持的视频主机、车牌识别系统、IP摄影机、DVR设备,因此,奇偶并未对这些产品提供安全性修补,而是呼吁用户更换设备,但看在攻击者眼里,上述状况却是可乘之机。
这两个弱点都是命令注入漏洞,起因是在特定的功能其中,对于用户输入不当过滤造成,未经身份验证的攻击者有机会远程触发漏洞,并于目标设备注入并执行任意系统命令,CVSS风险皆达到9.8分。CVE-2024-6047于去年6月披露,由国家资通安全研究院发现及通报,影响超过20款设备;另一个漏洞CVE-2024-11120,则由Shadowserver基金会于11月通报,当时已有攻击行动出现。
不过,研究人员强调,奇偶设备并非唯一被锁定的产品,还包括台厂永恒数字通信科技(Digiever)网络视频监视设备(NVR)DS-2105 Pro、中国中兴(ZTE)路由器ZXV10 H108L、韩国Dasan Networks旗下的GPON路由器,以及Hadoop YARN,攻击者都利用这些设备的已知漏洞下手。