Zero-Day в Edimax: умные устройства превращаются в солдат киберармии VagneRHere

В последние месяцы мы наблюдаем не только рост числа атак, но и угрозу, которая теперь буквально гуляет по домам и офисам. Специалисты Akamai SIRT обнаружили уязвимость в IoT-устройствах от Edimax, которая позволила киберпреступникам вербовать умные устройства в собственную киберармию — VagneRHere. Атаки, начавшиеся ещё в октябре 2024 года, показали, как легко можно использовать такие устройства для создания мощных ботнетов, которые ставят под угрозу не только владельцев, но и крупные компании.

Проблема заключается в CVE-2025-1316 — серьёзной уязвимости, которая поражает устройства Edimax. Однако, как оказалось, первый её след был найден ещё в июне 2023 года, что говорит о том, что опасность с самого начала была скрытой. В процессе расследования специалисты обнаружили несколько ботнетов, в том числе модификации известного Mirai, которые использовали не только эту уязвимость, но и другие известные дыры в безопасности, такие как API Docker.

Вредоносный код внедряется в устройства через стандартный URI-адрес, а затем использует стандартные логины типа admin:1234, которые легко угадать. После этого устройство становится частью огромной сети, подчиняющейся киберпреступникам. И да, это не только камеры модели IC-7100, но и другие устройства Edimax, которые остаются уязвимыми.

С июня 2024 года атаки продолжаются, причём их частота только увеличивается — особенно в сентябре 2024 года и начале 2025 года. Одним из первых признаков заражения является появление строки "VagneRHere" на экране. Это сигнализирует, что устройство теперь работает на преступников, скачивая дополнительные вредоносные файлы, которые могут заражать даже системы на разных архитектурах, включая x86 и ARM.

Серьёзность угрозы подчёркивает использование серверов управления, таких как angela.spklove[.]com, и наличие канала в Discord, вероятно, связанного с хакерами. А ещё один ботнет, который работает по той же уязвимости, добавляет новые способы обхода антивирусов и использует антиотладку для затруднения анализа.

Ситуация ухудшается тем, что эти устройства не получают обновлений безопасности, а производитель Edimax заявил, что не планирует выпускать исправления для уязвимых камер. Это оставляет пользователей наедине с проблемой, которая без должного внимания может вырасти в масштабную угрозу.

Что делать? Однозначно — менять пароли, отключать уязвимые устройства, ограничивать доступ и внимательно следить за сетевым трафиком. А если хотите избежать проблем в будущем, может быть, пришло время заменить устаревшее оборудование на более безопасное.