Akamai ha recentemente osservato un’ondata di attacchi informatici condotti tramite il malware Mirai, che sta sfruttando vulnerabilità presenti in dispositivi IoT prodotti da GeoVision. Questi attacchi, rilevati per la prima volta ad aprile 2025, rappresentano la prima attività di sfruttamento attivo delle vulnerabilità CVE-2024-6047 e CVE-2024-11120, precedentemente divulgate rispettivamente a giugno e a novembre 2024.
Il malware Mirai, noto per la sua capacità di trasformare dispositivi IoT compromessi in botnet per attacchi DDoS, sta sfruttando vulnerabilità nei dispositivi GeoVision, in particolare attraverso l’endpoint /DateSetting.cgi. Gli aggressori iniettano comandi nel parametro szSrvlpAddr, consentendo l’esecuzione di codice arbitrario. Una volta compromesso, il dispositivo scarica ed esegue una variante del malware Mirai denominata “LZRD”, progettata per architetture ARM.
La variante LZRD presenta diverse funzionalità tipiche di Mirai, tra cui metodi di attacco come attack_udp_plain, attack_tcp_ack e attack_method_hexflood. Inoltre, è stato identificato un indirizzo IP hardcoded per il comando e controllo (C2) all’interno della funziona resolve_cnc_addr(). Alcuni server C2 mostrano banner simili a quelli associati a precedenti botnet, suggerendo una possibile evoluzione o riutilizzo di infrastrutture esistenti.
Secondo gli esperti di Akamai, gli attacchi in corso fanno parte di una campagna ben orchestrata che mira ad ampliare la rete di dispositivi infetti. La tecnica è semplice, ma efficace: il malware cerca dispositivi vulnerabili esposti su Internet, ne sfrutta le debolezze note e ne prende il controllo per farli entrare a far parte della botnet.
A fronte di questi eventi, Akamai invita tutte le aziende e gli utenti che utilizzano dispositivi GeoVision o altre soluzioni IoT a prestare la massima attenzione. È essenziale verificare che il firmware sia aggiornato, proteggere l’accesso ai dispositivi con credenziali forti e monitorare costantemente la rete per individuare comportamenti anomali.
Questo episodio sottolinea ancora una volta l’urgenza di affrontare con serietà il tema della sicurezza dei dispositivi connessi, spesso trascurata rispetto ad altri aspetti dell’infrastruttura IT.
Akamai continuerà a monitorare queste e altre minacce e fornirà ulteriori informazioni non appena si presenteranno. Aggiornamenti in tempo reale su ulteriori ricerche sono disponibili sul canale Twitter di Akamai.
Per maggiori dettagli è possibile consultare il blogpost al seguente link.
