Uma nova variante do botnet Mirai malware está explorando uma vulnerabilidade de command injection nos dispositivos de gravação de vídeo digital TBK DVR-4104 e DVR-4216 para sequestrá-los.
A falha, registrada sob
CVE-2024-3721
, é uma vulnerabilidade de command injection divulgada pelo pesquisador de segurança “netsecfish” em abril de 2024.
A prova de conceito (PoC) publicada pelo pesquisador na época veio na forma de uma solicitação POST especialmente elaborada para um endpoint vulnerável, conseguindo a execução de comandos shell por meio da manipulação de certos parâmetros (mdb e mdc).
A Kaspersky agora relata ter detectado a exploração ativa do
CVE-2024-3721
em seus honeypots Linux por uma nova variante do Mirai botnet usando o PoC de netsecfish.
Os atacantes aproveitam a exploração para depositar um binário de malware ARM32, que estabelece comunicação com o servidor de comando e controle (C2) para recrutar o dispositivo para o enxame de botnet.
A partir daí, o dispositivo é provavelmente usado para conduzir ataques de distributed denial of service (DDoS), trafegar tráfego malicioso e outros comportamentos.
Embora netsecfish tenha relatado no ano passado que havia aproximadamente 114.000 DVRs expostos à internet vulneráveis ao
CVE-2024-3721
, as varreduras da Kaspersky mostram aproximadamente 50.000 dispositivos expostos, o que ainda é significativo.
A maioria das infecções que a firma russa de cibersegurança vê como associadas à última variante do Mirai impacta China, Índia, Egito, Ucrânia, Rússia, Turquia e Brasil.
No entanto, isso é baseado na telemetria da Kaspersky e, como seus produtos de segurança para consumidores são proibidos em muitos países, isso pode não refletir precisamente o foco de mira do botnet.
Atualmente, não está claro se o fornecedor, TBK Vision, lançou atualizações de segurança para corrigir a falha
CVE-2024-3721
ou se ela permanece sem correção.
Vale ressaltar que os DVR-4104 e DVR-4216 foram amplamente renomeados sob as marcas Novo, CeNova, QSee, Pulnix, XVR 5 em 1, Securus, Night OWL, DVR Login, HVR Login e MDVR, então a disponibilidade de patches para os dispositivos impactados é uma questão complexa.
O pesquisador que divulgou a falha da TBK Vision descobriu outras falhas que alimentaram a exploração contra dispositivos end-of-life (EoL) no ano passado.
Especificamente, netsecfish divulgou um problema de conta backdoor e uma vulnerabilidade de command injection impactando dezenas de milhares de dispositivos D-Link EoL em 2024.
A exploração ativa foi detectada em ambos os casos apenas alguns dias após a divulgação do PoC.
Isso mostra como os autores de malware incorporam rapidamente exploits públicos em seu arsenal.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...