Нова модификация на известния ботнет Mirai беше засечена да използва уязвимост от тип command injection (инжектиране на команди) в TBK DVR-4104 и DVR-4216, за да поеме контрол над устройствата и да ги присъедини към своята зловредна мрежа. Уязвимостта е проследена под идентификатор CVE-2024-3721.

Уязвимостта: CVE-2024-3721

Проблемът беше разкрит от изследователя по киберсигурност „netsecfish“ през април 2024 г. и включва некоректна обработка на параметрите mdb и mdc в HTTP POST заявки, което позволява изпълнение на системни команди (shell access) на засегнатото устройство.

Веднага след публичното разкриване на proof-of-concept (PoC) експлойт, атакуващи започнаха да използват кода активно, показвайки за пореден път колко бързо злонамерени актьори включват нови инструменти в арсенала си.

Как действа новият Mirai вариант

Според анализ на Kaspersky, новият вариант на Mirai:

• Използва CVE-2024-3721, за да получи достъп до уязвимите DVR устройства.

• Инжектира малуер бинарен файл за ARM32 архитектура.

• Установява връзка с команден и контролен (C2) сървър.

• Превръща DVR-а в част от ботнета, който може да бъде използван за:

  • DDoS атаки

  • проксиране на зловреден трафик

  • други злонамерени дейности

Засегнат обхват

По данни на изследователя netsecfish от 2024 г., в интернет има около 114 000 устройства, изложени на уязвимостта. Kaspersky, на база на своите honeypot системи, потвърждава около 50 000 активни устройства, при това най-вече от:

• Китай

• Индия

• Египет

• Украйна

• Русия

• Турция

• Бразилия

Важно е да се отбележи, че това отразява телеметрията на Kaspersky, чиито продукти са ограничени в някои региони, така че реалното разпространение на заразата може да е различно.

Проблем с ъпдейтите и ребрандирането

Към момента няма потвърждение дали производителят TBK Vision е пуснал кръпка за CVE-2024-3721. Това усложнява ситуацията, особено като се има предвид, че TBK DVR устройствата са често ребрандирани и продавани под различни имена, включително:

• Novo

• CeNova

• QSee

• Pulnix

• Securus

• Night OWL

• DVR Login

• HVR Login

• MDVR

• и др.

Тази фрагментация прави още по-трудно разпознаването и защитата на уязвимите устройства.

Повтарящ се модел

Изследователят netsecfish е известен с откриването на други критични уязвимости, включително backdoor акаунти и command injection в остарели устройства на D-Link, които също бяха бързо експлоатирани след разкриването им през 2024 г.

Този случай подчертава отново опасността от остарели или неактуализирани IoT устройства и бързината, с която малуер авторите възприемат нови уязвимости.