Mirai恶意软件僵尸网络的一个新变体正在利用TBK DVR-4104和DVR-4216数字视频录制设备中的命令注入漏洞来劫持它们。

CVE-2024-3721CVE-2024-3721下跟踪的漏洞是安全研究员 " netsecfish " 于2024年4月披露的命令注入漏洞。

研究人员当时发布的概念验证(PoC)以特制的POST请求的形式出现,通过操纵某些参数(mdb和mdc)实现shell命令执行。

卡巴斯基现在报告说,在其Linux蜜罐中,使用netsecfish的PoC从新的Mirai僵尸网络变体中捕获了CVE-2024-3721的积极开发。

攻击者利用该漏洞删除了ARM32恶意软件二进制文件,该二进制文件与命令和控制(C2)服务器建立通信,以将设备引入僵尸网络。从那里,该设备可能用于进行分布式拒绝服务(DDoS)攻击,代理恶意流量和其他行为。

攻击影响和修复

尽管netsecfish去年报告称,约有114,000台互联网暴露的DVR容易受到CVE-2024-3721的影响,但卡巴斯基的扫描显示约有50,000台暴露设备,这仍然很重要。

这家俄罗斯网络安全公司认为,大多数感染与最新的Mirai变种影响中国,印度,埃及,乌克兰,俄罗斯,土耳其和巴西有关。然而,这是基于卡巴斯基的遥测,由于其消费者安全产品在许多国家被禁止,这可能不能准确反映僵尸网络的定位重点。

目前,尚不清楚该供应商TBK Vision是否已发布安全更新以解决CVE-2024-3721漏洞,或者是否仍未修补。BleepingComputer联系了TBK询问此事,但我们仍在等待他们的回复。

值得注意的是, DVR-4104和DVR-4216已经以Novo,CeNova,QSee,Pulnix,XVR 5 in 1,Securus,Night OWL,DVR登录,HVR登录和MDVR品牌广泛重新命名,因此受影响设备的补丁可用性是一个复杂的问题。

披露TBK Vision漏洞的研究人员发现了其他缺陷,这些缺陷去年助长了对报废设备的利用。

具体来说披露了后门帐户问题和命令注入漏洞,影响了2024年数以万计的EoL D-Link设备。

在PoC披露后仅几天就发现了这两种情况的积极利用。这显示了恶意软件作者将公共漏洞整合到其武器库中的速度。