Akamai 安全情报和响应团队(SIRT)近期发布警报,着重指出 Edimax 物联网(IoT)设备中存在严重的命令注入漏洞。该漏洞被编号为 CVE - 2025 - 1316,已被多个僵尸网络频繁利用,用于传播臭名昭著的 Mirai 恶意软件。Mirai 恶意软件向来以危害物联网设备、发动分布式拒绝服务(DDoS)攻击而闻名。
漏洞概述
CVE - 2025 - 1316 漏洞主要针对 Edimax 设备中的 /camera - cgi/admin/param.cgi 端点,攻击者能够借此将命令注入到 ipcamSource 参数内的 NTP_serverName 选项中。成功利用该漏洞需要使用默认凭据,例如 admin:1234。虽然 CVE 特别提及 Edimax 的 IC - 7100 网络摄像头,但实际上该漏洞可能影响范围更广的 Edimax 设备。
Akamai SIRT 早在 2024 年 10 月初就在蜜罐中首次检测到针对此漏洞的攻击活动。
Mirai恶意软件样本主要功能
而该漏洞的概念验证(PoC)可追溯至 2023 年 6 月。最早的漏洞利用尝试出现在 2024 年 5 月,在 2024 年 9 月以及 2025 年 1 月至 2 月期间达到高峰。这些攻击源于不同的僵尸网络,其中就包括 Mirai 变种。
漏洞代码示例
此漏洞通过注入命令,在设备上执行 shell 脚本。以下是一个请求负载示例:
上述脚本会下载并执行针对 ARM、MIPS 和 x86 等不同架构的 Mirai 恶意软件变体。
恶意软件执行命令
恶意软件下载完成后,将通过以下命令执行:
类似的命令也用于 MIPS 和 ARM 等其他架构。
Mirai 僵尸网络
目前已发现两个不同的僵尸网络利用此漏洞:
· 第一个僵尸网络:该僵尸网络利用漏洞下载并执行 curl.sh 脚本,通过 angela.spklove [.] com 和端口 3093 与命令和控制(C2)服务器进行通信。恶意软件执行时会打印 “VagneRHere”。
· 第二个僵尸网络:此僵尸网络下载并运行 wget.sh 脚本,进而执行 Mirai 恶意软件。该恶意软件具备反调试功能,执行时会打印 “Hello, World!”。
这两个僵尸网络还利用了其他几个已知漏洞,如 Docker API 漏洞以及影响 TOTOLINK 设备的 CVE - 2024 - 7214。
缓解措施和建议
为有效防范这些威胁,可采取以下措施:
· 升级设备:将过时或易受攻击的设备更换为较新的型号。
· 更改默认凭证:务必确保所有设备都设置强大且唯一的密码。
· 监控网络:密切留意可疑活动,如异常的流量模式。
· 实施安全措施:利用防火墙和入侵检测系统,阻止攻击尝试。
鉴于 Mirai 恶意软件对物联网安全的持续威胁,及时了解相关信息并主动采取防范措施,对于保护物联网设备至关重要。