Actores de amenaza cibernética han activado campañas de explotación contra una vulnerabilidad no parcheada (CVE-2025-1316, CVSS v4: 9.3) en cámaras de red Edimax IC-7100, siendo empleada como vector para desplegar variantes de la botnet Mirai desde mayo de 2024. Este defecto crítico, clasificado como una vulnerabilidad de inyección de comandos a nivel de sistema operativo, permite la ejecución remota de código (RCE) mediante solicitudes maliciosamente estructuradas.
Según investigadores de Akamai, Kyle Leftor y Larry Cashdollar, el exploit se dirige al endpoint /camera-cgi/admin/param.cgi, inyectando comandos en el parámetro NTP_serverName bajo la opción ipcamSource. Aunque la explotación requiere autenticación, se ha documentado el uso de credenciales por defecto (admin:1234) para eludir controladores de acceso.
Cabe destacar que una prueba de concepto (PoC) para esta vulnerabilidad circula públicamente desde junio de 2023, precediendo en casi un año a los primeros intentos de explotación registrados. Actualmente, se han identificado dos variantes de Mirai asociadas a esta campaña: una incorpora mecanismos anti-depuración antes de ejecutar un script de shell que descarga payloads maliciosos adaptados a múltiples arquitecturas (ARM, MIPS, x86).
El objetivo operativo de estas botnets es la consolidación de una infraestructura de red comprometida (botnet) para orquestar ataques DDoS distribuidos mediante protocolos TCP/UDP. Adicionalmente, se observa la explotación paralela de otras vulnerabilidades, incluyendo CVE-2024-7214 (dispositivos TOTOLINK), CVE-2021-36260 (cámaras Hikvision) y fallos en Hadoop YARN.
Edimax, en un comunicado reciente, confirmó que los equipos afectados pertenecen a modelos fuera de su ciclo de vida operativo (sin soporte desde hace una década), descartando la emisión de parches oficiales.
Como contramedidas, se recomienda:
- Migración a dispositivos con firmware actualizado.
- Restricción de exposición a interfaces WAN mediante políticas de segmentación de red.
- Rotación de credenciales predeterminadas bajo políticas de gestión de contraseñas robustas.
- Monitorización proactiva de logs de acceso para detectar patrones anómalos (ej. conexiones a IPs desconocidas o ejecución de procesos no autorizados).
Akamai enfatiza que el firmware obsoleto en dispositivos IoT representa un vector crítico para la proliferación de botnets. La persistencia de Mirai, potenciada por la disponibilidad pública de su código base y la integración de herramientas de inteligencia artificial para automatizar desarrollos maliciosos, continúa representando un riesgo sistémico para infraestructuras globales. Este caso refuerza la necesidad de estrategias de hardening y análisis forense continuo en entornos con dispositivos heredados.
Fuentes:
- Unpatched Edimax camera flaw exploited for Mirai botnet attacks since last year https://thehackernews.com/2025/03/unpatched-edimax-camera-flaw-exploited.html
- Negative exposure: Edimax network cameras used to spread Mirai https://www.akamai.com/blog/security-research/march-edimax-cameras-command-injection-mirai
- Unpatched Edimax IP camera flaw actively exploited in botnet attacks https://www.bleepingcomputer.com/news/security/unpatched-edimax-ip-camera-flaw-actively-exploited-in-botnet-attacks/
- Botnet attacks exploiting Edimax IP camera Zero-Day ongoing for nearly one year https://www.msspalert.com/brief/botnet-attacks-exploiting-edimax-ip-camera-zero-day-ongoing-for-nearly-one-year
Deja una respuesta