https://www.cve.org/CVERecord?id=CVE-2024-7029
CVE Website
www.cve.org
CVE-2024-7029란?
AVTECH IP 카메라의 밝기 기능에서 발견된 Command Injection 취약점을 악용해 IP 카메라를 감염시킨다.
공격자는 원격 코드 실행(RCE)을 통해 카메라에 악성코드를 설치하고, 이를 봇넷의 일부로 활용했다.
https://www.cisa.gov/news-events/ics-advisories/icsa-24-214-07
AVTECH IP Camera | CISA
View CSAF 1. EXECUTIVE SUMMARY CVSS v4 8.7 ATTENTION: Exploitable remotely/low attack complexity/public exploits are available/known public exploitation Vendor: AVTECH SECURITY Corporation Equipment: IP camera Vulnerability: Command Injection 2. RISK EVALU
www.cisa.gov
”action =” 매개변수의 “brightness” 인수가 명령어 리젝션을 허용함. 공격자는 이 취약점으로 코로나19바이러스를 참조하는 문자열 이름을 가진 Mirai 변종을 유포
CVE-2024-7029에 대한 개념 증명(PoC)는 2019부터 공개가 되었으나 2024년 8월까지 CVE할당이 없었다.
AVTECH IP 카메라 디바이스의 취약점은 최대 AVM1203 펌웨어 버전 Fullmg-1023-1007-1011-1009 등에 영향을 준다. 모델 생산은 현재 중단되었으나 CISA는 아직도 전세계적으로 교통 당국이나 중요 인프라 기관등에서 사용되고 있다고 함
https://www.akamai.com/ko/blog/security-research/2024-corona-mirai-botnet-infects-zero-day-sirt
보안 취약점을 주의하세요: 제로데이를 통해 유포되는 Corona Mirai 봇넷 | Akamai
Akamai SIRT는 AVTECH CCTV 카메라에서 취약점을 발견했습니다. 이 취약점이 어떻게 Corona Mirai 변종을 유포시키는 데 활발하게 악용되고 있는지 알아보세요.
www.akamai.com
- 취약점 종류: 명령어 주입 (Command Injection)
- 영향을 받는 제품: AVTECH AVM1203 IP 카메라
- CVSS 점수: 9.8 (Critical)
https://nvd.nist.gov/vuln/detail/CVE-2024-7029
NVD - CVE-2024-7029
nvd.nist.gov
허니팟 로그를 조사하여 발견됨(허니팟: 공격자로부터 탐사를 당하고 공격을 받는 역할을 하는 보안 장치. 전통적인 허니팟은 수동적으로 공격당하기를 기다리는 서버(or 서버 서비스들을 노출시키는 장치)의 형태이다)
관련있는 악성코드
CVE-2014-8361
Realtek SDK의 miniigd SOAP 서비스에서 발견된 원격 코드 실행 취약점 공격자는 조작된 NNewInternalClient 요청을 통해 임의의 코드를 실행할 수 있음 Realtek SDK를 사용하는 다양한 장치에서 발견되었다고 하며, D-Link같은 제조사의 라우터도 영향을 받았다고함 공격자는 UPnP SOAP 인터페이스로 인증 없이 시스템 명령 실행 가능
CVE-2017-17215
화웨이 HG532 라우터에서 발견된 원격 코드 실행 취약점 인증된 공격 자가 포트 37215로 특수하게 악성 패킷을 전송해 임의의 코드를 실행 가능
CVE 정리
- CVE-2024-7029
- AVTECH IP 카메라의 밝기 기능에서 발견된 Command Injection 취약점을 악용하여 IP 카메라를 감염시킴.
- 공격자는 원격 코드 실행(RCE)을 통해 카메라에 악성코드를 설치하고, 이를 봇넷의 일부로 활용.
- 감염된 IP 카메라 활용
- 감염된 카메라를 봇넷에 추가하여 다른 공격에 활용.
- CVE-2014-8361 및 CVE-2017-17215
- 기존에 알려진 다른 취약점을 이용해 Mirai 봇넷 변종을 타깃 시스템에 확산시킴.
- 이는 감염된 IP 카메라가 다른 장치나 시스템을 공격하는 데 사용되는 방식.
즉, CVE-2024-7029는 봇넷에 감염될 출발점으로 사용되고, 이후 감염된 장치들이 다른 취약점을 활용해 Mirai 변종을 확산시키는 역할
CVE-2024-7029를 악용한 PoC도구 공개
CVE-2024-7029를 이용해서 PoC 도구가 개발됨. 아래는 깃허브에 올라온건데 ebrasha가 악용해서 원격 코드 실행, 취약점 스캐닝, 인터랙티브 쉘 기능 제공하는 PoC 도구를 공개. 취약한 AVTECH 장치를 대상으로 해서 HTTP 요청을 하고 원격 명령어를 실행해서 대상 시스템의 취약성 확인하는 코드
https://github.com/ebrasha/CVE-2024-7029
GitHub - ebrasha/CVE-2024-7029: A PoC tool for exploiting CVE-2024-7029 in AvTech devices, enabling RCE, vulnerability scanning,
A PoC tool for exploiting CVE-2024-7029 in AvTech devices, enabling RCE, vulnerability scanning, and an interactive shell. - ebrasha/CVE-2024-7029
github.com
geniuszlyy가 파이썬으로 만든 PoC 익스플로잇.. 취약한 AVTECH 장치를 스캔하고 명령어 실행할 수 있는 기능을 제공함 RCE로 수행..
https://github.com/geniuszlyy/CVE-2024-7029
GitHub - geniuszlyy/CVE-2024-7029: A PoC exploit for the CVE-2024-7029 vulnerability found in AvTech devices, allowing Remote Co
A PoC exploit for the CVE-2024-7029 vulnerability found in AvTech devices, allowing Remote Code Execution (RCE) - geniuszlyy/CVE-2024-7029
github.com
'학회_공부해요 > 기술_스터디' 카테고리의 다른 글
| [이스트시큐리티] 업무 협조 요청 메일을 위장하여 유포 중인 악성코드 주의! (0) | 2025.01.21 |
|---|---|
| [IGLOO]Linux Kernel 내 Use-After-Free 취약점 (CVE-2024-1086) 분석 및 대응방안 (0) | 2025.01.14 |
| [Virus Bulletin] Nexus Android banking botnet – compromising C&C panels and dissecting mobile AppInjects (2) | 2024.11.18 |
| [CIO KOREA] 트럼프는 반도체 지원 법안을 폐지할까? (6) | 2024.11.12 |
| [ESTsecurity] ESRC 주간 Email 위협 통계 (9월 셋째주) (4) | 2024.10.08 |