Нова модификация на известния ботнет Mirai беше засечена да използва уязвимост от тип command injection (инжектиране на команди) в TBK DVR-4104 и DVR-4216, за да поеме контрол над устройствата и да ги присъедини към своята зловредна мрежа. Уязвимостта е проследена под идентификатор CVE-2024-3721.
Проблемът беше разкрит от изследователя по киберсигурност „netsecfish“ през април 2024 г. и включва некоректна обработка на параметрите mdb и mdc в HTTP POST заявки, което позволява изпълнение на системни команди (shell access) на засегнатото устройство.
Веднага след публичното разкриване на proof-of-concept (PoC) експлойт, атакуващи започнаха да използват кода активно, показвайки за пореден път колко бързо злонамерени актьори включват нови инструменти в арсенала си.
Според анализ на Kaspersky, новият вариант на Mirai:
Използва CVE-2024-3721, за да получи достъп до уязвимите DVR устройства.
Инжектира малуер бинарен файл за ARM32 архитектура.
Установява връзка с команден и контролен (C2) сървър.
Превръща DVR-а в част от ботнета, който може да бъде използван за:
DDoS атаки
проксиране на зловреден трафик
други злонамерени дейности
По данни на изследователя netsecfish от 2024 г., в интернет има около 114 000 устройства, изложени на уязвимостта. Kaspersky, на база на своите honeypot системи, потвърждава около 50 000 активни устройства, при това най-вече от:
Китай
Индия
Египет
Украйна
Русия
Турция
Бразилия
Важно е да се отбележи, че това отразява телеметрията на Kaspersky, чиито продукти са ограничени в някои региони, така че реалното разпространение на заразата може да е различно.
Към момента няма потвърждение дали производителят TBK Vision е пуснал кръпка за CVE-2024-3721. Това усложнява ситуацията, особено като се има предвид, че TBK DVR устройствата са често ребрандирани и продавани под различни имена, включително:
Novo
CeNova
QSee
Pulnix
Securus
Night OWL
DVR Login
HVR Login
MDVR
и др.
Тази фрагментация прави още по-трудно разпознаването и защитата на уязвимите устройства.
Изследователят netsecfish е известен с откриването на други критични уязвимости, включително backdoor акаунти и command injection в остарели устройства на D-Link, които също бяха бързо експлоатирани след разкриването им през 2024 г.
Този случай подчертава отново опасността от остарели или неактуализирани IoT устройства и бързината, с която малуер авторите възприемат нови уязвимости.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
