Um pico significativo nas tentativas de exploração visando os DVRs TVT NVMS9000 foi detectado, atingindo seu auge em 3 de abril de 2025, com mais de 2.500 IPs únicos vasculhando por dispositivos vulneráveis.
As tentativas de ataque buscam explorar uma vulnerabilidade de divulgação de informações inicialmente divulgada por um SSD Advisory em maio de 2024, que publicou os detalhes completos da exploração para recuperar credenciais de admin em texto claro usando um único payload TCP.
A exploração resulta em um bypass de autenticação, permitindo que os invasores executem comandos administrativos no dispositivo sem restrição.
De acordo com a plataforma de monitoramento de ameaças GreyNoise, que detectou a atividade de exploração, é provável que esteja ligada a um malware baseado em Mirai que busca incorporar os dispositivos ao seu botnet.
Tipicamente, dispositivos infectados são então usados para fazer proxy de tráfego malicioso, mineração de criptomoedas ou lançar ataques de distributed denial of service (DDoS).
No último mês, GreyNoise registrou 6.600 IPs distintos associados a essa atividade, com todos eles confirmados como maliciosos e não falsificáveis.
A maior parte dos ataques origina-se de Taiwan, Japão e Coreia do Sul, enquanto a maioria dos dispositivos visados estão localizados nos EUA, no Reino Unido e na Alemanha.
O TVT NVMS9000 DVR é um gravador de vídeo digital fabricado pela TVT Digital Technology Co., Ltd.
baseada em Shenzen.
Esses DVRs são usados principalmente em sistemas de segurança e vigilância para gravar, armazenar e gerenciar imagens de câmeras de segurança.
Como os DVRs são comumente conectados à internet, historicamente eles têm sido alvo de diversos botnets, com alguns explorando até mesmo falhas de cinco anos atrás.
Alguns exemplos recentes de botnets que visam DVRs expostos incluem HiatusRAT, Mirai e FreakOut.
De acordo com o advisory da SSD, os clientes devem atualizar para a versão de firmware 1.3.4 ou mais recente para corrigir a falha.
Se a atualização for impossível, recomenda-se que o acesso público à internet para as portas do DVR seja restringido e que as requisições vindas dos endereços IP listados pela GreyNoise sejam bloqueadas.
Sinais de infecções por Mirai em DVRs incluem picos de tráfego de saída, desempenho lento, frequentes travamentos ou reinicializações, alto uso de CPU/memória mesmo quando inativo, e configurações alteradas.
Se algum desses sinais for notado, desconecte o DVR, realize um reset de fábrica, atualize para o firmware mais recente e então isole-o da rede principal.
O último lançamento de firmware para o NVMS9000 foi em 2018, então não está claro se os dispositivos ainda têm suporte.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...