GeoVision物聯網裝置遭到鎖定，殭屍網路利用已知漏洞滲透

殭屍網路綁架老舊連網設備的情況層出不窮，原因是這些產品的供應商已經終止支援（EOL），即使研究人員發現漏洞，廠商往往不會修補，而成為攻擊者能持續利用的標的。

例如，近期資安業者Akamai發現的Mirai殭屍網路變種LZRD攻擊行動，就是典型的例子。研究人員在今年4月，透過蜜罐陷阱察覺LZRD鎖定奇偶科技（GeoVision）物聯網裝置而來，積極利用命令注入漏洞CVE-2024-6047、CVE-2024-11120。由於這兩項已知的資安漏洞，存在於已終止支援的視訊主機、車牌辨識系統、IP攝影機、DVR設備，因此，奇偶並未對這些產品提供安全性修補，而是呼籲用戶更換設備，但看在攻擊者眼裡，上述狀況卻是可乘之機。

這兩個弱點都是命令注入漏洞，起因是在特定的功能當中，對於使用者輸入不當過濾造成，未經身分驗證的攻擊者有機會遠端觸發漏洞，並於目標裝置注入並執行任意系統命令，CVSS風險皆達到9.8分。CVE-2024-6047於去年6月揭露，由國家資通安全研究院發現及通報，影響超過20款設備；另一個漏洞CVE-2024-11120，則由Shadowserver基金會於11月通報，當時已有攻擊行動出現。

不過，研究人員強調，奇偶設備並非唯一被鎖定的產品，還包括臺廠永恒數位通訊科技（Digiever）網路視訊監視設備（NVR）DS-2105 Pro、中國中興（ZTE）路由器ZXV10 H108L、韓國Dasan Networks旗下的GPON路由器，以及Hadoop YARN，攻擊者都利用這些設備的已知漏洞下手。

【5月9日更新】奇偶科技在5月9日回覆我們，他們表示，去年已獲悉這起有關EOL產品安全漏洞遭駭客入侵一事。該漏洞當初是因駭客透過未經密碼保護的方式入侵EOL產品，主要是IP攝影機及影像伺服器。該公司網站已經設置Security Advisory專區公告這方面資訊。iThome電腦報週刊資安主編羅正漢