Uma nova variante do botnet Mirai malware está explorando uma vulnerabilidade de command injection nos dispositivos de gravação de vídeo digital TBK DVR-4104 e DVR-4216 para sequestrá-los.
A falha, registrada sob
CVE-2024-3721
, é uma vulnerabilidade de command injection divulgada pelo pesquisador de segurança “netsecfish” em abril de 2024.
A prova de conceito (PoC) publicada pelo pesquisador na época veio na forma de uma solicitação POST especialmente elaborada para um endpoint vulnerável, conseguindo a execução de comandos shell por meio da manipulação de certos parâmetros (mdb e mdc).
A Kaspersky agora relata ter detectado a exploração ativa do
CVE-2024-3721
em seus honeypots Linux por uma nova variante do Mirai botnet usando o PoC de netsecfish.
Os atacantes aproveitam a exploração para depositar um binário de malware ARM32, que estabelece comunicação com o servidor de comando e controle (C2) para recrutar o dispositivo para o enxame de botnet.
A partir daí, o dispositivo é provavelmente usado para conduzir ataques de distributed denial of service (DDoS), trafegar tráfego malicioso e outros comportamentos.
Embora netsecfish tenha relatado no ano passado que havia aproximadamente 114.000 DVRs expostos à internet vulneráveis ao
CVE-2024-3721
, as varreduras da Kaspersky mostram aproximadamente 50.000 dispositivos expostos, o que ainda é significativo.
A maioria das infecções que a firma russa de cibersegurança vê como associadas à última variante do Mirai impacta China, Índia, Egito, Ucrânia, Rússia, Turquia e Brasil.
No entanto, isso é baseado na telemetria da Kaspersky e, como seus produtos de segurança para consumidores são proibidos em muitos países, isso pode não refletir precisamente o foco de mira do botnet.
Atualmente, não está claro se o fornecedor, TBK Vision, lançou atualizações de segurança para corrigir a falha
CVE-2024-3721
ou se ela permanece sem correção.
Vale ressaltar que os DVR-4104 e DVR-4216 foram amplamente renomeados sob as marcas Novo, CeNova, QSee, Pulnix, XVR 5 em 1, Securus, Night OWL, DVR Login, HVR Login e MDVR, então a disponibilidade de patches para os dispositivos impactados é uma questão complexa.
O pesquisador que divulgou a falha da TBK Vision descobriu outras falhas que alimentaram a exploração contra dispositivos end-of-life (EoL) no ano passado.
Especificamente, netsecfish divulgou um problema de conta backdoor e uma vulnerabilidade de command injection impactando dezenas de milhares de dispositivos D-Link EoL em 2024.
A exploração ativa foi detectada em ambos os casos apenas alguns dias após a divulgação do PoC.
Isso mostra como os autores de malware incorporam rapidamente exploits públicos em seu arsenal.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...