Una nueva variante del malware botnet Mirai está explotando una vulnerabilidad de inyección de comandos en dispositivos de grabación de video digital TBK DVR-4104 y DVR-4216 para secuestrarlos y añadirlos a su red de dispositivos comprometidos.

La vulnerabilidad bajo ataque

La falla, identificada como CVE-2024-3721, es una vulnerabilidad de inyección de comandos que fue divulgada por el investigador de seguridad «netsecfish» en abril de 2024. El investigador publicó una prueba de concepto (PoC) que consistía en una solicitud POST especialmente diseñada hacia un endpoint vulnerable, logrando la ejecución de comandos shell mediante la manipulación de ciertos parámetros (mdb y mdc).

Kaspersky ahora reporta haber detectado la explotación activa de CVE-2024-3721 en sus honeypots de Linux por parte de esta nueva variante de Mirai, que utiliza precisamente el PoC de netsecfish para llevar a cabo sus ataques.

Funcionamiento del ataque

Los atacantes aprovechan el exploit para desplegar un binario de malware ARM32, que establece comunicación con el servidor de comando y control (C2) para alistar el dispositivo en el enjambre de la botnet. Una vez comprometido, el dispositivo es utilizado probablemente para:

  • Realizar ataques distribuidos de denegación de servicio (DDoS)
  • Actuar como proxy para tráfico malicioso
  • Otros comportamientos maliciosos típicos de botnets

La nueva variante de Mirai incluye verificaciones del entorno antes de ejecutar sus cargas útiles, demostrando un nivel de sofisticación en su desarrollo.

Impacto y alcance global

Aunque netsecfish había reportado el año pasado que existían aproximadamente 114,000 DVRs expuestos en internet y vulnerables a CVE-2024-3721, los escaneos actuales de Kaspersky muestran alrededor de 50,000 dispositivos expuestos, lo cual sigue siendo una cifra significativa.

La mayoría de las infecciones que la firma rusa de ciberseguridad observa están asociadas con esta última variante de Mirai e impactan principalmente a:

  • China
  • India
  • Egipto
  • Ucrania
  • Rusia
  • Turquía
  • Brasil

Sin embargo, es importante tener en cuenta que estos datos se basan en la telemetría de Kaspersky, y dado que sus productos de seguridad para consumidores están prohibidos en muchos países, esto podría no reflejar con precisión el enfoque real de targeting de la botnet.

Problema de parches y marcas afectadas

Actualmente, no está claro si el fabricante TBK Vision ha lanzado actualizaciones de seguridad para abordar la falla CVE-2024-3721 o si permanece sin parchear.

Un aspecto particularmente complejo es que los modelos DVR-4104 y DVR-4216 han sido extensamente re-etiquetados bajo múltiples marcas, incluyendo:

  • Novo
  • CeNova
  • QSee
  • Pulnix
  • XVR 5 in 1
  • Securus
  • Night OWL
  • DVR Login
  • HVR Login
  • MDVR

Esta proliferación de marcas hace que la disponibilidad de parches para dispositivos afectados sea un asunto complejo, ya que cada marca podría manejar las actualizaciones de seguridad de manera independiente.

Patrón de explotación rápida

Este caso ilustra un patrón preocupante en el panorama de ciberseguridad actual. El investigador netsecfish, quien divulgó la falla de TBK Vision, también descubrió otras vulnerabilidades que alimentaron la explotación contra dispositivos al final de su vida útil durante el año pasado.

Específicamente, netsecfish divulgó:

  • Un problema de cuenta backdoor que afectaba a más de 92,000 dispositivos NAS D-Link expuestos
  • Una vulnerabilidad de inyección de comandos que impactaba a 60,000 dispositivos NAS D-Link más antiguos

En ambos casos, la explotación activa fue detectada solo unos días después de la divulgación del PoC, lo que demuestra la rapidez con la que los autores de malware incorporan exploits públicos a su arsenal.

Recomendaciones de seguridad

Ante esta amenaza, es crucial que los propietarios de dispositivos DVR:

  1. Verifiquen si sus dispositivos pertenecen a los modelos afectados o sus variantes re-etiquetadas
  2. Contacten al fabricante o distribuidor para obtener información sobre parches disponibles
  3. Implementen medidas de seguridad de red adicionales, como firewalls y segmentación de red
  4. Consideren desconectar dispositivos vulnerables de internet hasta que estén disponibles los parches
  5. Monitoreen el tráfico de red en busca de actividad sospechosa

La rápida adopción de exploits públicos por parte de los cibercriminales subraya la importancia de mantener los dispositivos IoT actualizados y de implementar una estrategia de seguridad robusta que no dependa únicamente de las actualizaciones del fabricante.

Fuente

Artículos relacionadosMás del autor

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí