Botnetz-Betreiber nutzen Schwachstellen in veralteten IoT-Geräten aus : Angriffe auf Altgeräte und MagicINFO-Server zeigen: Veraltete IoT-Systeme sind ein offenes Einfallstor für Botnetze und DDoS-Attacken.
Nicht mehr unterstützte IoT-Hardware wird zur Einfallstür für moderne Cyberangriffe: Cyberkriminelle kapern gezielt Auslaufmodelle von GeoVision, um sie zum Teil eines globalen Mirai-Botnetzes zu machen. Ihr Ziel: eine schlagkräftige Infrastruktur für groß angelegte DDoS-Angriffe.
Veraltete Geräte mit offenen Schwachstellen geraten in eine neue Angriffswelle von Cyberkriminellen. Seit April 2025 beobachtet das Security Intelligence and Response Team (SIRT) von Akamai eine Kampagne, bei der gezielt nicht mehr unterstützte IoT-Geräte von GeoVision übernommen werden. Die Angreifer nutzen dabei zwei kritische Schwachstellen zur Befehlsinjektion auf Betriebssystemebene (CVE-2024-6047 und CVE-2024-11120, beide bewertet mit einem CVSS-Score von 9,8).
Über den Endpunkt /DateSetting.cgi injizieren sie mithilfe des Parameters szSrvIpAddr gezielt Systembefehle. Ziel ist es, die Geräte mit einer ARM-Version der Mirai-Malware namens LZRD zu infizieren und in ein Botnetz einzubinden. Dieses dient als Plattform für koordinierte, verteilte Denial-of-Service-Angriffe (DDoS).
Alte Lücken, neues Risiko
Neben den aktuellen Exploits setzen die Angreifer auch auf ältere, öffentlich bekannte Schwachstellen: Unter anderem wird eine Hadoop-YARN-Lücke (CVE-2018-10561) ausgenutzt sowie ein Fehler in DigiEver-Geräten, der bereits im Dezember 2024 dokumentiert wurde.
Die Kampagne weist Parallelen zur Angriffsgruppe InfectedSlurs auf, die bereits in der Vergangenheit durch ähnliche Aktivitäten aufgefallen ist.
„Einer der effizientesten Wege, ein Botnetz aufzubauen, besteht darin, gezielt veraltete Geräte mit unsicherer oder abgekündigter Firmware ins Visier zu nehmen“, warnt Kyle Lefton von Akamai.
Die Gefahr liegt auf der Hand: Viele dieser Geräte erhalten keine Sicherheitsupdates mehr – in manchen Fällen existiert nicht einmal mehr der Hersteller. Für betroffene GeoVision-Geräte sind daher keine Patches mehr zu erwarten. Sicherheitsexperten raten dringend, diese Hardware durch aktuelle, unterstützte Modelle zu ersetzen.
Samsung MagicINFO als weiteres Einfallstor
Parallel dazu berichten Arctic Wolf und das SANS Technology Institute von einer weiteren Angriffswelle, die eine Schwachstelle im Samsung MagicINFO 9 Server betrifft. Die als CVE-2024-7399 registrierte Pfadtransversalitätslücke (CVSS-Score: 8,8) erlaubt es nicht authentifizierten Angreifern, beliebige Dateien mit Systemrechten zu schreiben.
Obwohl Samsung bereits im August 2024 ein entsprechendes Sicherheitsupdate veröffentlichte, wurde Ende April 2025 ein Proof-of-Concept öffentlich zugänglich gemacht. Seitdem häufen sich die Angriffe: Cyberkriminelle nutzen die Lücke, um Shell-Skripte herunterzuladen, mit denen sich Mirai-Bestandteile nachladen und ausführen lassen.
„Die Schwachstelle erlaubt es, speziell präparierte JavaServer-Pages (JSP-Dateien) zu platzieren – was letztlich zu einer vollständigen Remote-Code-Ausführung führen kann“, so Arctic Wolf.
Auch aktuelle MagicINFO-Version betroffen – Patch offenbar unzureichend
Die Cybersicherheitsfirma Huntress warnt indes, dass selbst die aktuelle Version des Samsung MagicINFO 9 Server weiterhin anfällig für den veröffentlichten Proof-of-Concept ist. In realen Angriffen sei gezielt die neueste Version des Content-Management-Systems, das zur Verwaltung von digitalen Beschilderungen eingesetzt wird, angegriffen worden.
„Es lässt sich nur folgern, dass der Patch vom August 2024 entweder unvollständig war oder eine ähnliche, aber eben andere Schwachstelle behoben hat“, schreiben die Huntress-Experten Jai Minton und Craig Sweeney in einem Bericht vom 7. Mai 2025. Eine Stellungnahme dazu von Samsung liegt aktuell noch nicht vor.
Nutzern von MagicINFO wird dringend empfohlen, ihre Systeme auf Version 21.1050 oder höher zu aktualisieren.
Behörden reagieren: GeoVision-Lücken im KEV-Katalog
Unterdessen hat die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) die beiden GeoVision-Schwachstellen in ihren Katalog der Known Exploited Vulnerabilities (KEV)aufgenommen. Damit sind Bundesbehörden verpflichtet, die betroffenen Systeme bis spätestens 28. Mai 2025 zu sichern – oder deren Nutzung vollständig einzustellen, sofern keine geeigneten Schutzmaßnahmen verfügbar sind.
Auch alle anderen Betreiber von GeoVision-Hardware sollten veraltete Geräte sofort austauschen. Andernfalls droht die unbemerkte Integration in ein wachsendes Botnetz – mit potenziell massiven Folgen auch für die eigene Infrastruktur.