index_new5.html
../../../zaker_core/zaker_tpl_static/wap/tpl_guoji1.html
![]()
新的Mirai僵尸网络变种正在利用TBK DVR-4104和DVR-4216数字视频录制设备中的CVE-2024-3721命令注入漏洞。该漏洞允许攻击者执行shell命令,从而劫持设备。卡巴斯基报告称,攻击者利用该漏洞释放ARM32恶意软件二进制文件,将设备招募到僵尸网络中,用于DDoS攻击等恶意行为。尽管存在漏洞的DVR设备数量约为50000台,主要集中在印度、埃及等国家,但设备补丁的可用性是一个复杂的问题,因为这些设备也被广泛重新命名。
💥 CVE-2024-3721漏洞:该漏洞存在于TBK DVR-4104和DVR-4216数字视频录制设备中,是一个命令注入漏洞,允许攻击者通过特制的POST请求执行shell命令。
🤖 Mirai僵尸网络变种:攻击者利用CVE-2024-3721漏洞释放ARM32恶意软件二进制文件,与C2服务器建立通信,将受感染设备招募到Mirai僵尸网络中。
🌍 受影响设备与地理位置:尽管netsecfish报告约有114000台DVR设备暴露于互联网,但卡巴斯基的扫描显示约有50000台设备易受攻击。感染主要发生在印度、埃及、乌克兰、俄罗斯、土耳其和巴西。
🛠️ 补丁问题:由于DVR-4104和DVR-4216设备被广泛重新命名,设备补丁的可用性变得复杂。目前,尚不清楚供应商TBK Vision是否已发布安全更新来解决CVE-2024-3721漏洞。
Mirai恶意软件僵尸网络的一个新变种正在利用TBK DVR-4104和DVR-4216数字视频录制设备中的命令注入漏洞来劫持它们。该漏洞被CVE-2024-3721跟踪,是安全研究人员netsecfish于2024年4月披露的一个命令注入漏洞。研究人员当时发布的概念验证(PoC)以特制的POST请求的形式发送给易受攻击的端点,通过操纵某些参数(mdb和mdc)实现shell命令的执行。卡巴斯基报告说,利用netsecfish的PoC,他们在Linux蜜罐中发现了一个新的Mirai僵尸网络变体对CVE-2024-3721的积极利用。攻击者利用该漏洞释放ARM32恶意软件二进制文件,该二进制文件与命令和控制(C2)服务器建立通信,以将设备招募到僵尸网络群。从那里,该设备很可能被用来进行分布式拒绝服务(DDoS)攻击、代理恶意流量和其他行为。
Mirai的环境检查
攻击影响和修复
尽管netsecfish去年报告称,大约有114000台暴露在互联网上的dvr易受CVE-2024-3721的攻击,但卡巴斯基的扫描显示,大约有50000台暴露设备。
netsecfish认为,与最新的Mirai变种有关的大多数感染都发生在印度、埃及、乌克兰、俄罗斯、土耳其和巴西。然而,这是基于卡巴斯基的遥测,并且由于其消费者安全产品在许多国家被禁止,这可能无法准确反映僵尸网络的目标重点。目前,尚不清楚供应商TBK Vision是否已经发布了安全更新来解决CVE-2024-3721漏洞,或者是否仍未修补。值得注意的是,DVR-4104和DVR-4216已经在Novo, CeNova, QSee, Pulnix, XVR 5 in 1, Securus, Night OWL, DVR Login, HVR Login和MDVR品牌下进行了广泛的重新命名,因此受影响设备的补丁可用性是一个复杂的问题。披露TBK Vision漏洞的研究人员去年还发现了其他漏洞,这些漏洞助长了对报废设备的攻击。具体来说,netsecfish在2024年披露了一个后门账户问题和一个命令注入漏洞,影响了数万台EoL D-Link设备。在PoC披露后的几天内,在这两起案件中都发现了活跃的利用,这也表明了网络犯罪分子将公共漏洞纳入其武器库的速度之快。参考及来源:https://www.bleepingcomputer.com/news/security/new-mirai-botnet-infect-tbk-dvr-devices-via-command-injection-flaw/
📍发表于:中国 北京
🔗️ 阅读原文
