กลุ่มผู้ไม่หวังดีถูกพบว่ากำลังใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยในอุปกรณ์ Internet of Things (IoT) ของ GeoVision ที่สิ้นสุดการสนับสนุนไปแล้ว เพื่อควบคุมอุปกรณ์เหล่านั้นให้เป็นส่วนหนึ่งของเครือข่ายมัลแวร์ Mirai Botnet สำหรับใช้ในการโจมตีแบบ DDoS
ปฏิบัติการนี้ถูกตรวจพบครั้งแรกโดยทีม Akamai Security Intelligence and Response Team (SIRT) เมื่อต้นเดือนเมษายน 2025 โดยการโจมตีนั้นใช้ช่องโหว่ command injection ในระบบปฏิบัติการสองรายการ (CVE-2024-6047 และ CVE-2024-11120 โดยมีคะแนน CVSS: 9.8) ซึ่งสามารถนำไปใช้รันคำสั่งในระบบได้อย่างอิสระ
Kyle Lefton นักวิจัยจาก Akamai ได้แชร์รายงานกับ The Hacker News โดยระบุว่า "การโจมตีนี้มีเป้าหมายไปยัง endpoint /DateSetting.cgi ในอุปกรณ์ IoT ของ GeoVision และทำการแทรกคำสั่งเข้าไปในพารามิเตอร์ szSrvIpAddr"
ในการโจมตีที่ตรวจพบโดยบริษัทด้านความปลอดภัย และโครงสร้างพื้นฐานเว็บไซต์พบว่า botnet ได้ทำการแทรกคำสั่งเพื่อดาวน์โหลด และเรียกใช้มัลแวร์ Mirai เวอร์ชั่น ARM ที่เรียกว่า LZRD
ช่องโหว่บางรายการที่เครือข่าย botnet ใช้โจมตี ได้แก่ ช่องโหว่ใน Hadoop YARN, ช่องโหว่ CVE-2018-10561 และช่องโหว่ที่ส่งผลกระทบต่อ DigiEver ซึ่งถูกเปิดเผยในเดือนธันวาคม 2024
มีหลักฐานบางอย่างที่บ่งชี้ว่าแคมเปญการโจมตีนี้อาจเกี่ยวข้องกับปฏิบัติการที่เคยถูกบันทึกไว้ก่อนหน้านี้ภายใต้ชื่อ InfectedSlurs
Lefton ระบุว่า "หนึ่งในวิธีที่ได้ผลมากที่สุดสำหรับอาชญากรทางไซเบอร์ในการเริ่มสร้างเครือข่าย botnet คือการมุ่งเป้าไปที่เฟิร์มแวร์รุ่นเก่าที่มีความปลอดภัยต่ำ และไม่ได้มีการอัปเดตมานานแล้ว"
"มีผู้ผลิตฮาร์ดแวร์จำนวนมากที่ไม่ออกแพตช์อัปเดตสำหรับอุปกรณ์ที่เลิกผลิตแล้ว (ในบางกรณี ผู้ผลิตอาจเลิกกิจการไปแล้วด้วยซ้ำ)"
เนื่องจากอุปกรณ์ GeoVision ที่ได้รับผลกระทบมีแนวโน้มไม่น่าจะได้รับการอัปเดตแพตช์อีกต่อไป จึงแนะนำให้ผู้ใช้ อัปเกรดเป็นรุ่นใหม่ เพื่อป้องกันภัยคุกคามที่อาจเกิดขึ้นได้
ช่องโหว่ของ Samsung MagicINFO ถูกใช้ในการโจมตีด้วย Mirai botnet
การเปิดเผยข้อมูลนี้เกิดขึ้นหลังจากที่ Arctic Wolf และสถาบัน SANS Technology Institute ได้ออกคำเตือนเกี่ยวกับการโจมตีที่กำลังเกิดขึ้นจริงโดยใช้ช่องโหว่ CVE-2024-7399 (คะแนน CVSS: 8.8) ซึ่งเป็นช่องโหว่แบบ path traversal ในเซิร์ฟเวอร์ Samsung MagicINFO 9 โดยช่องโหว่นี้อาจทำให้ผู้โจมตีสามารถเขียนไฟล์ใด ๆ ก็ได้ลงในระบบด้วยสิทธิ์ระดับ System และใช้ช่องโหว่นี้เพื่อส่ง Mirai botnet เข้าไปในระบบ
แม้ว่า Samsung ได้ออกแพตช์แก้ไขช่องโหว่นี้แล้วตั้งแต่เดือนสิงหาคม 2024 แต่ช่องโหว่นี้ก็ถูกนำมาใช้โจมตีหลังจากมีการเผยแพร่ proof-of-concept (PoC) เมื่อวันที่ 30 เมษายน 2025 ซึ่งช่วยให้ผู้โจมตีสามารถดาวน์โหลด และรัน shell script ที่ทำหน้าที่ดาวน์โหลด botnet
Arctic Wolf ระบุว่า “ช่องโหว่นี้ทำให้ผู้ใช้งานที่ไม่ผ่านการยืนยันตัวตนสามารถเขียนไฟล์ได้อย่างอิสระ และอาจนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ หากช่องโหว่นี้ถูกใช้ในการเขียนไฟล์ JavaServer Pages (JSP) ที่ถูกสร้างขึ้นมาเป็นพิเศษ”
แนะนำให้ผู้ใช้งาน ทำการอัปเดตระบบของตนให้เป็นเวอร์ชั่น 21.1050 ขึ้นไป เพื่อป้องกันผลกระทบที่อาจเกิดขึ้นจากการดำเนินงานได้
ที่มา : thehackernews
You must be logged in to post a comment.