Ένα botnet που χρησιμοποιείται για επιθέσεις DDoS ή cryptomining εκμεταλλεύεται μια zero-day ευπάθεια σε συσκευές GeoVision που έχουν φτάσει στο τέλος της ζωής τους (end-of-life).

Οι ερευνητές του Shadowserver Foundation παρατήρησαν ότι ένα botnet εκμεταλλεύεται αυτή τη zero-day ευπάθεια στις συσκευές GeoVision EOL για να τις παραβιάσει.
Δείτε περισσότερα: Samba AD ευπάθεια επιτρέπει στους hackers κλιμάκωση προνομίων
Η zero-day ευπάθεια της GeoVision, καταχωρημένη ως CVE-2024-11120 (CVSS 9.8), είναι μια pre-auth command injection ευπάθεια, που ανακαλύφθηκε από το Shadowserver Foundation και επιβεβαιώθηκε με τη βοήθεια του TWCERT. Επηρεάζει τα ακόλουθα προϊόντα EoL: GV-VS12, GV-VS11, GV-DSP_LPR_V3, GVLX 4 V2 και GVLX 4 V3.
Η ανακοίνωση από το TWCERT αναφέρει ότι “ορισμένες συσκευές GeoVision EOL έχουν ευπάθεια OS Command Injection. Μη πιστοποιημένοι απομακρυσμένοι hackers μπορούν να εκμεταλλευτούν αυτή την ευπάθεια για να εισάγουν και να εκτελέσουν αυθαίρετες εντολές στη συσκευή“. Επιπλέον, αυτή την ευπάθεια την έχουν ήδη εκμεταλλευτεί οι hackers, όπως δείχνουν σχετικά reports.

Το botnet χρησιμοποιείται για την εκτέλεση επιθέσεων DDoS ή cryptomining. Σύμφωνα με το Shadowserver Foundation, υπάρχουν περίπου 17,000 συσκευές GeoVision που είναι εκτεθειμένες στο διαδίκτυο και ευάλωτες στη zero-day CVE-2024-11120.
Διαβάστε σχετικά: Το GorillaBot αναδείχθηκε ο «βασιλιάς» των DDoS επιθέσεων
Οι περισσότερες από αυτές τις συσκευές βρίσκονται στις Ηνωμένες Πολιτείες (9,179), ακολουθούμενες από τη Γερμανία (1,652), την Ταϊβάν (792) και τον Καναδά (784).
Πηγή: securityaffairs