Botnet ใช้ประโยชน์จากช่องโหว่ Zero-day ในอุปกรณ์ GeoVision ที่ EoL

411/67 (IT) ประจำวันอังคารที่ 19 พฤศจิกายน 2567

นักวิจัยจาก Shadowserver Foundation พบว่ามี Botnet ใช้ประโยชน์จากช่องโหว่ Zero-Day ในอุปกรณ์ของ GeoVision ที่สิ้นสุดการสนับสนุน (End-of-Life หรือ EoL) เพื่อโจมตีและเข้าควบคุมอุปกรณ์ที่ยังคงใช้งานอยู่ ที่ช่องโหว่หมายเลข CVE-2024-11120 มีคะแนน CVSS : 9.8 เป็นช่องโหว่ประเภท pre-auth command injection ซึ่งถูกพบโดย Shadowserver Foundation และได้รับความช่วยเหลือในการยืนยันจาก TWCERT (Taiwan Computer Emergency Response Team) ซึ่งช่องโหว่ดังกล่าวส่งผลกระทบต่อผลิตภัณฑ์ของ GeoVision ดังนี้ :

– GV-VS12

– GV-VS11

– GV-DSP_LPR_V3

– GVLX 4 V2

– GVLX 4 V3

ตามข้อมูลของ Shadowserver Foundation พบว่ามีอุปกรณ์ GeoVision ประมาณ 17,000 เครื่องที่เชื่อมต่ออินเทอร์เน็ตและเสี่ยงต่อการถูกโจมตีด้วยช่องโหว่ CVE-2024-11120 โดยอุปกรณ์ที่มีความเสี่ยงมากที่สุดอยู่ในสหรัฐอเมริกา (9,179 เครื่อง) รองลงมาคือเยอรมนี (1,652 เครื่อง), ไต้หวัน (792 เครื่อง) และแคนาดา (784 เครื่อง) ซึ่งบ่งชี้ว่าผู้ใช้อุปกรณ์เหล่านี้อาจมีความเสี่ยงอย่างมาก    

นักวิจัยแนะนำให้ผู้ใช้อุปกรณ์ GeoVision ที่สิ้นสุดการสนับสนุน (EoL) ควรตรวจสอบและพิจารณาเปลี่ยนอุปกรณ์เป็นรุ่นใหม่เพื่อป้องกันการถูกโจมตี นอกจากนี้ ควรปิดการเข้าถึงจากภายนอกสำหรับอุปกรณ์ที่ยังคงใช้งานอยู่เพื่อลดความเสี่ยงในการถูกแฮก

แหล่งข่าว https://securityaffairs.com/171067/malware/ddos-botnet-exploits-geovision-zero-day.html