據觀察，威脅行為者積極利用 GeoVision 壽命終止 (EoL) 物聯網 (IoT) 設備中的安全漏洞，將它們納入Mirai殭屍網絡，以進行分散式阻斷服務 (DDoS) 攻擊。

該活動於 2025 年 4 月初由 Akamai 安全情報和回應團隊 (SIRT) 首次發現，涉及利用兩個作業系統命令注入漏洞（CVE-2024-6047和CVE-2024-11120，CVSS 評分：9.8），可用於執行任意系統命令。

Akamai 研究員 Kyle Lefton在與 The Hacker News 分享的一份報告中表示： “該漏洞的目標是 GeoVision IoT 設備中的 /DateSetting.cgi 端點，並將命令注入 szSrvIpAddr 參數。”

在網路安全和基礎設施公司偵測到的攻擊中，發現殭屍網路注入指令來下載和執行名為LZRD的 Mirai 惡意軟體的 ARM 版本。

該殭屍網路利用的一些漏洞包括 Hadoop YARN 漏洞、CVE-2018-10561 以及 2024 年 12 月突出顯示的影響 DigiEver 的漏洞。

有證據表明，該活動與先前以 InfectedSlurs 為名記錄的活動有重疊。

萊夫頓說：“網路犯罪分子開始組建殭屍網路的最有效方法之一就是瞄準舊設備上安全性較差且過時的韌體。”

“許多硬體製造商不會為退役設備發布補丁（在某些情況下，製造商本身可能已經不復存在）。”

鑑於受影響的 GeoVision 設備不太可能收到新的補丁，建議用戶升級到較新的型號以防範潛在威脅。

Mirai攻擊利用三星MagicINFO漏洞

此次披露正值Arctic Wolf和SANS 技術研究所警告稱， CVE-2024-7399 （CVSS 評分：8.8）已被積極利用，這是三星MagicINFO9伺服器中的一個路徑遍歷漏洞，可能使攻擊者能夠以系統權限寫入任意文件，從而傳播Mirai殭屍網路。

雖然三星在 2024 年 8 月解決了這個問題，但 SSD Disclosure 於 2025 年 4 月 30 日發布了一個概念驗證 (PoC) ，該概念驗證針對一個看似無關的缺陷，被用來檢索和執行負責下載殭屍網路的 shell 腳本。

Arctic Wolf 表示：“該漏洞允許未經身份驗證的用戶進行任意文件寫入，並且當該漏洞被用於編寫特製的 JavaServer Pages (JSP) 文件時，最終可能導致遠端程式碼執行。”

建議使用者將其實例更新到 21.1050 及更高版本，以減輕潛在的營運影響。

更新

網路安全公司 Huntress 表示，即使是最新版本的三星 MagicINFO 9 伺服器也容易受到 PoC 的攻擊，並且已經觀察到針對用於控制數位看板顯示器的內容管理系統最新版本的野外攻擊。

研究人員 Jai Minton 和 Craig Sweeney在 2025 年 5 月 7 日發布的報告中表示： “我們只能得出這樣的結論：2024 年 8 月的補丁要么不完整，要么是針對一個單獨但類似的漏洞。”

Hacker News 已聯繫三星尋求進一步評論，如果收到回复，我們將更新報導。

美國網路安全與基礎設施安全局在相關更新中將GeoVision 的兩個漏洞添加到其已知被利用漏洞 ( KEV ) 目錄中，要求聯邦機構在 2025 年 5 月 28 日之前應用修復程序，否則如果沒有緩解措施則停止使用該產品。

（該報告在發表後進行了更新，包括 Huntress 的新發現，針對三星 MagicINFO 9 伺服器的攻擊活動涉及一個新的安全漏洞。）