Nowy wariant Mirai wykorzystuje lukę CVE-2024-3721 w rejestratorach DVR do budowy botnetu IoT

Wprowadzenie do problemu / definicja

Badacze bezpieczeństwa zaobserwowali aktywną kampanię wymierzoną w rejestratory DVR klasy IoT, w której napastnicy wykorzystują podatność CVE-2024-3721 do zdalnego wykonania poleceń i instalacji nowego wariantu Mirai. Atak wpisuje się w utrzymujący się trend przejmowania słabiej zarządzanych urządzeń brzegowych, takich jak kamery, routery i systemy monitoringu, w celu budowy botnetów wykorzystywanych do ataków DDoS oraz dalszej propagacji.

W praktyce oznacza to, iż urządzenia często traktowane wyłącznie jako element infrastruktury pomocniczej stają się pełnoprawnym celem cyberprzestępców. Problem jest szczególnie istotny tam, gdzie sprzęt IoT działa latami bez aktualizacji i pozostaje wystawiony bezpośrednio do Internetu.

W skrócie

• Kampania dotyczy podatności CVE-2024-3721 w urządzeniach TBK DVR, w tym modelach DVR-4104 i DVR-4216.
• Luka ma charakter command injection i umożliwia zdalne wykonanie poleceń bez uwierzytelnienia.
• Atakujący wykorzystują podatność do dostarczenia wieloarchitekturnego wariantu Mirai o nazwie Nexcorium.
• Przejęte urządzenia są dołączane do botnetu zdolnego do prowadzenia ataków DDoS i skanowania kolejnych podatnych hostów.

Kontekst / historia

Mirai od lat pozostaje jednym z najbardziej rozpoznawalnych botnetów IoT. Jego skuteczność opiera się na prostym modelu operacyjnym: masowym wyszukiwaniu słabo zabezpieczonych urządzeń, automatycznej kompromitacji i szybkim wdrażaniu lekkiego malware działającego na wielu architekturach sprzętowych.

We wcześniejszych kampaniach Mirai często bazował na domyślnych poświadczeniach i usługach takich jak Telnet. w tej chwili operatorzy coraz częściej sięgają po konkretne luki RCE i command injection w urządzeniach sieciowych oraz systemach nadzoru wizyjnego. Obserwowana kampania potwierdza tę zmianę: zamiast liczyć wyłącznie na błędną konfigurację, napastnicy wykorzystują publicznie znaną podatność, co skraca czas potrzebny do infekcji i zwiększa skalę operacji.

Analiza techniczna

Sercem kampanii jest CVE-2024-3721, czyli podatność typu OS command injection w urządzeniach TBK DVR. Problem dotyczy endpointu /device.rsp, gdzie odpowiednio spreparowane parametry żądania mogą doprowadzić do wykonania dowolnych poleceń systemowych na urządzeniu.

W analizowanym scenariuszu exploit służy do dostarczenia Nexcorium, wariantu Mirai przygotowanego dla wielu architektur procesorowych typowych dla środowisk IoT. Taki model dystrybucji zwiększa skuteczność kampanii, ponieważ ta sama infrastruktura operatorska może infekować szerokie spektrum urządzeń o różnej platformie sprzętowej.

Po uruchomieniu malware przejęty host zostaje włączony do botnetu, odbiera polecenia z infrastruktury C2 i może brać udział zarówno w działaniach ofensywnych, jak i w dalszym rozprzestrzenianiu infekcji. Technicznie kampania łączy kilka charakterystycznych cech nowoczesnych botnetów IoT: automatyzację eksploatacji, lekkie binaria dla wielu platform, szybkie osadzanie się w pamięci urządzenia oraz wykorzystanie zainfekowanych systemów do skanowania kolejnych celów.

Konsekwencje / ryzyko

Najbardziej oczywistą konsekwencją jest dołączenie urządzenia do botnetu DDoS, co może prowadzić do nadużycia łącza, degradacji usług i pośredniego udziału organizacji w atakach na podmioty trzecie. To jednak nie wyczerpuje skali zagrożenia.

Kompromitacja internetowego rejestratora monitoringu oznacza również ryzyko naruszenia integralności i poufności środowiska, zwłaszcza jeżeli urządzenie działa w tej samej strefie sieciowej co inne systemy operacyjne, serwery lub stacje administracyjne. Zainfekowany DVR może stać się punktem wejścia do dalszej aktywności rekonesansowej, uruchamiania dodatkowych komponentów, modyfikowania konfiguracji lub utrzymywania trwałej obecności w sieci.

Ryzyko jest szczególnie wysokie w sektorach intensywnie wykorzystujących monitoring IP i urządzenia OT/IoT, takich jak handel, logistyka, magazyny, małe biura czy obiekty przemysłowe.

Rekomendacje

Organizacje powinny w pierwszej kolejności zidentyfikować wszystkie podatne urządzenia DVR i sprawdzić, czy są dostępne z Internetu. o ile producent udostępnił poprawki lub nowsze wersje firmware, należy wdrożyć je bez zbędnej zwłoki. W przypadku sprzętu schyłkowego lub nieobsługiwanego konieczna może być wymiana urządzeń albo ich ścisła izolacja sieciowa.

• wyłączyć bezpośrednią ekspozycję paneli administracyjnych DVR do Internetu,
• ograniczyć dostęp administracyjny wyłącznie przez VPN lub wydzielone segmenty zarządzające,
• wprowadzić segmentację sieci dla urządzeń IoT i CCTV,
• monitorować ruch wychodzący pod kątem nietypowych połączeń do infrastruktury C2,
• blokować znane wzorce eksploatacji na warstwie IPS lub WAF tam, gdzie jest to możliwe,
• prowadzić inwentaryzację firmware i cykliczne przeglądy urządzeń niebędących klasycznymi endpointami,
• wymusić silne poświadczenia oraz usunąć konta domyślne, jeżeli platforma to umożliwia.

W środowiskach SOC warto dodać reguły detekcji dla nietypowych żądań HTTP kierowanych do endpointów administracyjnych DVR oraz dla anomalii ruchu wskazujących na skanowanie i udział urządzenia w operacjach wolumetrycznych. W przypadku potwierdzonej kompromitacji urządzenie należy traktować jako niezaufane, odseparować od sieci, przeprowadzić reset i ponowną instalację firmware, a następnie zweryfikować, czy nie doszło do ruchu bocznego.

Podsumowanie

Kampania wykorzystująca CVE-2024-3721 pokazuje, iż rejestratory DVR przez cały czas pozostają atrakcyjnym celem dla operatorów botnetów Mirai. Połączenie publicznie znanej luki typu command injection z wieloarchitekturnym malware pozwala na szybkie przejmowanie słabo chronionych systemów IoT i używanie ich do ataków DDoS oraz dalszej ekspansji.

Dla organizacji jest to wyraźny sygnał, iż infrastruktura CCTV i inne urządzenia IoT powinny być traktowane jak zasoby krytyczne z perspektywy cyberbezpieczeństwa. Aktualizacje, segmentacja, monitoring oraz ograniczanie ekspozycji do Internetu pozostają podstawą skutecznej obrony.

Źródła

1. Attackers Exploit DVR Command Injection Flaw to Deploy Botnet — https://www.infosecurity-magazine.com/news/mirai-variant-dvr-flaw-iot-botnet/
2. Tracking Mirai Variant Nexcorium: A Vulnerability-Driven IoT Botnet Campaign — https://www.fortinet.com/blog/threat-research/tracking-mirai-variant-nexcorium-a-vulnerability-driven-iot-botnet-campaign
3. NVD – CVE-2024-3721 — https://nvd.nist.gov/vuln/detail/CVE-2024-3721
4. TBK DVRs Botnet Attack | Outbreak Alert — https://fortiguard.fortinet.com/outbreak-alert/tbk-dvrs-botnet-attack
5. CVE-2024-3721: Mirai Botnet Exploits TBK DVR Vulnerability — https://www.revelsi.com/en/blog/cve-2024-3721-mirai-botnet-exploits-tbk-dvr-vulnerability/