Новий варіант ботнету шкідливого програмного забезпечення Mirai використовує вразливість впровадження команд у цифрових відеозаписних пристроях TBK DVR-4104 та DVR-4216 для їх захоплення. Уразливість, що відстежується під номером CVE-2024-3721, являє собою вразливість, що дозволяє впроваджувати команди, розкриту дослідником безпеки netsecfish у квітні 2024 року. Підтвердження концепції (PoC), опубліковане дослідником на той час, мало вигляд спеціально створеного POST-запиту до вразливої кінцевої точки, що забезпечувало виконання команди оболонки шляхом маніпуляції певними параметрами (mdb та mdc).
Зловмисники використовують експлойт для встановлення бінарного файлу шкідливого програмного забезпечення ARM32, який встановлює зв’язок із сервером командування та управління (C2) для залучення пристрою до рою ботнетів. Звідти пристрій, ймовірно, використовується для проведення розподілених атак відмови в обслуговуванні (DDoS), шкідливого проксі-трафіку та інших дій.
Вплив атаки та виправлення
Хоча netsecfish минулого року повідомляв про приблизно 114 000 відеореєстраторів, вразливих до CVE-2024-3721, які піддавалися впливу Інтернету. Більшість заражень пов’язує з останнім варіантом Mirai, вражають Китай, Індію, Єгипет, Україну, росію, Туреччину та Бразилію. Наразі незрозуміло, чи випустив постачальник, TBK Vision, оновлення безпеки для усунення недоліку CVE-2024-3721, чи він залишається невиправленим. BleepingComputer звернувся до TBK з цим питанням, але ми все ще чекаємо на їхню відповідь.
Варто зазначити, що DVR-4104 та DVR-4216 були значною мірою перейменовані на бренди Novo, CeNova, QSee, Pulnix, XVR 5 in 1, Securus, Night OWL, DVR Login, HVR Login та MDVR, тому наявність патчів для пристроїв, на які поширюється проблема, є складним питанням.
Дослідник, який розкрив недолік TBK Vision, виявив інші недоліки, які минулого року сприяли поширенню хакерських атак проти пристроїв, термін служби яких закінчився. Зокрема, netsecfish розкрила проблему з бекдор-акаунтом та вразливість, що дозволяє впроваджувати команди, що вплинули на десятки тисяч пристроїв D-Link EoL у 2024 році. Активну експлуатацію було виявлено в обох випадках лише через кілька днів після розкриття PoC. Це показує, як швидко автори шкідливих програм включають публічні експлойти у свій арсенал.
