Ciberataques crescentes

Hackers usam falhas críticas em dispositivos IoT antigos para espalhar botnet Mirai

nova-variante-de-botnet-mirai-mira-em-vulnerabilidades-em-servidores-baseados-em-linux-e-dispositivos-iot

Pesquisadores da Akamai identificaram uma campanha ativa de ciberataques que explora brechas em dispositivos IoT descontinuados, particularmente da marca GeoVision, para propagar variantes do malware Mirai. As ações maliciosas, registradas pela equipe de inteligência da Akamai (SIRT) desde abril de 2025, miram sistemas vulneráveis com o objetivo de integrá-los a uma rede usada em ataques de negação de serviço (DDoS).

Falhas em IoT obsoletos alimentam nova onda da botnet Mirai

Essas invasões utilizam falhas críticas — CVE-2024-6047 e CVE-2024-11120 — com pontuação CVSS de 9,8, o que as classifica como extremamente graves. Ambas permitem a execução remota de comandos por meio da manipulação do endpoint “/DateSetting.cgi” e da injeção de código no parâmetro “szSrvIpAddr” dos dispositivos da GeoVision.

Um número recorde de empresas está adotando a Internet das Coisas
Imagem: IoT Tech Trends.

Malware Mirai LZRD e outras falhas exploradas

Ao comprometer os equipamentos, os invasores injetam comandos para baixar e rodar uma versão ARM do Mirai, batizada de LZRD. Além das falhas específicas da GeoVision, outras vulnerabilidades conhecidas, como a falha no Hadoop YARN (CVE-2018-10561) e uma brecha no sistema DigiEver relatada em dezembro de 2024, também estão sendo aproveitadas.

Há indícios de que essa operação pode estar ligada a atividades prévias associadas ao grupo conhecido como InfectedSlurs, reforçando o padrão de ataques voltados a dispositivos com firmware desatualizado.

Segundo Kyle Lefton, pesquisador da Akamai, os criminosos digitais tendem a mirar equipamentos abandonados por fabricantes ou que não recebem mais atualizações, tornando-os alvos fáceis. “Muitos dispositivos estão em uso mesmo após o encerramento do suporte, o que os transforma em brechas abertas para botnets como a Mirai”, alerta.

Software da Samsung também é alvo

Paralelamente, pesquisadores da Arctic Wolf e do SANS Technology Institute chamaram atenção para a exploração ativa da falha CVE-2024-7399, com pontuação CVSS 8,8, no servidor MagicINFO 9 da Samsung. Essa vulnerabilidade de travessia de diretório permite a gravação arbitrária de arquivos por usuários não autenticados — o que pode ser explorado para executar códigos maliciosos remotamente.

Apesar de a falha ter sido corrigida em agosto de 2024, ela voltou a representar riscos após a divulgação pública de uma prova de conceito (PoC) em abril de 2025, que facilita a automatização do ataque por scripts shell.

A falha permite que arquivos JavaServer Pages (JSP) manipulados sejam gravados no sistema, possibilitando a ativação da botnet Mirai em servidores comprometidos. A recomendação dos especialistas é clara: atualizar o MagicINFO para a versão 21.1050 ou superior o quanto antes.

Como se proteger de ataques

Empresas e usuários que ainda operam com dispositivos obsoletos da GeoVision ou versões desatualizadas do Samsung MagicINFO devem considerar urgentemente a substituição por modelos mais recentes e atualizados. A implementação de monitoramento contínuo e o bloqueio de endpoints vulneráveis também são medidas eficazes contra esse tipo de ameaça.

A presença persistente da botnet Mirai no cenário de cibersegurança demonstra que a negligência com atualizações pode transformar simples equipamentos conectados em agentes de ataques em larga escala.