Support ausgelaufen: Attacken auf IP-Kamera von Avtech beobachtet
Derzeit attackiert das Corona-Mirai-Botnet die IP-Kamera AVM1203 von Avtech. Die Kamera wird in öffentlichen Einrichtungen und Industrieanlagen verwendet.
(Bild: Gerd Altmann, Public Domain (Creative Commons CC0))
Weil der Support bereits vor fünf Jahren ausgelaufen ist, bekommt die IP-Kamera AVM1203 von Avtech keine Sicherheitsupdates mehr. Nun warnen IT-Sicherheitsforscher von Akamai vor Attacken.
Schadcode-Schwachstelle
In einem Bericht führen die Forscher aus, dass die Kamera weltweit in unter anderem öffentlichen Einrichtungen und kritischen Infrastrukturen zur Überwachung eingesetzt wird. Setzen Angreifer erfolgreich an der Sicherheitslücke (CVE-2024-7029 „hoch“) an, können sie aus der Ferne Schadcode ausführen. Ob sich Angreifer nach einer erfolgreichen Attacke weiter im Netzwerk ausbreiten können, geht aus der Beschreibung der Forscher nicht konkret hervor.
Die Schwachstelle betrifft die Helligkeitsfunktion der Kamera. An dieser Stelle können Angreifer mit bestimmten Kommandos ansetzen, um eine Attacke einzuleiten. Weitere Details dazu erläutern die Forscher in ihrem Bericht. Die Angriffe sollen vom Corona-Mirai-Botnet ausgehen.
Keine Hilfe in Sicht
Da es kein Sicherheitsupdate für die IP-Kamera geben wird, sollten Admins über einen Austausch nachdenken. Ist das keine Möglichkeit, sollten sie das Gerät aus Sicherheitsgründen durch Firewallregeln abschotten. Außerdem sollte die Kamera nicht öffentlich über das Internet erreichbar sein, um die Angriffsfläche zu verkleinern. Wenn ein Zugriff von außen unabdingbar sein, sollte dieser über eine abgesicherte VPN-Verbindung erfolgen.
In welchem Umfang die Angriffe ablaufen, ist derzeit nicht bekannt. Damit Admins Attacken erkennen können, listen die Forscher am Ende ihres Beitrages verschiedenen Indicator of Compromises (IoC) auf. Darunter sind IP-Adressen, von denen Attacken ausgehen, und Hashwerte der Malware.
Schwachstelle in Mirai-Botnet
Derweil haben andere IT-Forscher eine Schwachstelle im Mirai-Botnet entdeckt. Die Drohnen mit Code-Stand bis zum 19. August 2024 gehen nicht korrekt mit den TCP-Verbindungen zu ihren Command-and-Control-Servern um. Nicht authentifizierte Sessions bleiben dadurch offen und konsumieren Ressourcen, erläutern sie in einem offiziellen CVE-Eintrag mit der Nummer CVE-2024-45163. Das Malware einen offiziellen Schwachstellen-Eintrag in der NIST-Datenbank erhält, ist äußerst ungewöhnlich.
Antworten auf die Frage, ob und wie man IoT-Geräte wie solche Kameras möglichst sicher und verantwortungsvoll in einem Unternehmensnetz betreiben kann, liefert übrigens unser heise-security-Webinar: Security & IoT im Unternehmen - wie kann das gehen?
(des)
