![Prakash - High Res[1].jpg](https://www.bitmat.it/wp-content/uploads/2025/05/rsz_prakash_panjwani-218x150.jpg "Transizione pianificata del CEO avviata da WatchGuard Technologies")
Gli attacchi del malware Mirai rilevati da Akamai per la prima volta ad aprile 2025, rappresentano la prima attività di sfruttamento attivo delle vulnerabilità CVE-2024-6047 e CVE-2024-11120, precedentemente divulgate rispettivamente a giugno e a novembre 2024.
Qual è la tattica del malware Mirai?
Il malware Mirai, noto per la sua capacità di trasformare dispositivi IoT compromessi in botnet per attacchi DDoS, sta sfruttando vulnerabilità nei dispositivi GeoVision, in particolare attraverso l’endpoint /DateSetting.cgi. Gli aggressori iniettano comandi nel parametro szSrvlpAddr, consentendo l’esecuzione di codice arbitrario. Una volta compromesso, il dispositivo scarica ed esegue una variante del malware Mirai denominata “LZRD”, progettata per architetture ARM.
La variante LZRD presenta diverse funzionalità tipiche di Mirai, tra cui metodi di attacco come attack_udp_plain, attack_tcp_ack e attack_method_hexflood. Inoltre, è stato identificato un indirizzo IP hardcoded per il comando e controllo (C2) all’interno della funziona resolve_cnc_addr(). Alcuni server C2 mostrano banner simili a quelli associati a precedenti botnet, suggerendo una possibile evoluzione o riutilizzo di infrastrutture esistenti.
Secondo gli esperti di Akamai, gli attacchi in corso fanno parte di una campagna ben orchestrata che mira ad ampliare la rete di dispositivi infetti. La tecnica è semplice, ma efficace: il malware cerca dispositivi vulnerabili esposti su Internet, ne sfrutta le debolezze note e ne prende il controllo per farli entrare a far parte della botnet.
A fronte di questi eventi, Akamai invita tutte le aziende e gli utenti che utilizzano dispositivi GeoVision o altre soluzioni IoT a prestare la massima attenzione. È essenziale verificare che il firmware sia aggiornato, proteggere l’accesso ai dispositivi con credenziali forti e monitorare costantemente la rete per individuare comportamenti anomali.
Questo episodio sottolinea ancora una volta l’urgenza di affrontare con serietà il tema della sicurezza dei dispositivi connessi, spesso trascurata rispetto ad altri aspetti dell’infrastruttura IT.
