50 000 дверей в ад: ботнет оживает благодаря эксплойту, о котором давно забыли
NewsMakerВсё началось с безобидного куска кода, а закончилось глобальной охотой на уязвимое железо.
Новая модификация ботнета Mirai взяла на вооружение уязвимость CVE-2024-3721 в устройствах видеонаблюдения TBK DVR-4104 и DVR-4216, позволяя захватывать их управление с помощью инъекции системных команд. Уязвимость впервые была раскрыта исследователем под псевдонимом netsecfish в апреле 2024 года. Для эксплуатации используется специально сформированный POST-запрос к одному из уязвимых API-эндпоинтов, через который с помощью параметров mdb и mdc выполняются произвольные команды в системе.
Недавно «Лаборатория Касперского» зафиксировала активное использование этой уязвимости в своих Linux-ханипотах. По данным специалистов, злоумышленники используют эксплойт, опубликованный netsecfish, для загрузки исполняемого ARM32-файла, который устанавливает соединение с командным сервером и подключает заражённое устройство к ботнету .
Попав в сеть управления, такие устройства становятся частью масштабной инфраструктуры для DDoS-атак , проксирования вредоносного трафика и других типов сетевой активности. Основные цели атак — системы, подключённые к интернету без должной защиты, среди которых тысячи видеорегистраторов, до сих пор не получивших исправления.
Несмотря на то, что изначально исследователь сообщал о 114 000 уязвимых DVR, доступных из интернета, по данным «Лаборатории Касперского» сейчас эта цифра сократилась примерно до 50 000. Тем не менее, масштаб проблемы остаётся значительным. Больше всего заражённых устройств зафиксировано в Китае, Индии, Египте, Украине, России, Турции и Бразилии. Однако эти данные отражают только те регионы, где активно используется телеметрия «Лаборатории Касперского», и не обязательно показывают полную картину.
На момент публикации остаётся неясным, выпустила ли компания TBK Vision обновление безопасности, закрывающее уязвимость CVE-2024-3721. Запрос, направленный в компанию, пока остаётся без ответа. Ситуацию дополнительно осложняет тот факт, что модели DVR-4104 и DVR-4216 активно распространялись под различными брендами — среди них Novo, CeNova, QSee, Pulnix, XVR 5 in 1, Securus, Night OWL, DVR Login, HVR Login и MDVR. Из-за этого вопрос наличия исправлений для конкретных устройств остаётся открытым.
Netsecfish ранее уже находил уязвимости, активно использовавшиеся злоумышленниками в аналогичных сценариях. В 2024 году он сообщил о бэкдор-аккаунте и новой инъекции команд в десятках тысяч устаревших маршрутизаторов D-Link, что также привело к быстрой волне атак. В обоих случаях прошло всего несколько дней между публикацией PoC и появлением активной эксплуатации в реальных атаках — тенденция, подтверждающая, насколько быстро киберпреступники адаптируют открытые наработки.
В совокупности эта атака показывает уязвимость устройств, оставшихся без поддержки, и указывает на необходимость срочного отключения или сегментирования оборудования, не получающего обновлений безопасности. В противном случае оно быстро становится частью новых ботнетов, которые продолжают развиваться и адаптироваться к меняющемуся ландшафту угроз.
Новая модификация ботнета Mirai взяла на вооружение уязвимость CVE-2024-3721 в устройствах видеонаблюдения TBK DVR-4104 и DVR-4216, позволяя захватывать их управление с помощью инъекции системных команд. Уязвимость впервые была раскрыта исследователем под псевдонимом netsecfish в апреле 2024 года. Для эксплуатации используется специально сформированный POST-запрос к одному из уязвимых API-эндпоинтов, через который с помощью параметров mdb и mdc выполняются произвольные команды в системе.
Недавно «Лаборатория Касперского» зафиксировала активное использование этой уязвимости в своих Linux-ханипотах. По данным специалистов, злоумышленники используют эксплойт, опубликованный netsecfish, для загрузки исполняемого ARM32-файла, который устанавливает соединение с командным сервером и подключает заражённое устройство к ботнету .
Попав в сеть управления, такие устройства становятся частью масштабной инфраструктуры для DDoS-атак , проксирования вредоносного трафика и других типов сетевой активности. Основные цели атак — системы, подключённые к интернету без должной защиты, среди которых тысячи видеорегистраторов, до сих пор не получивших исправления.
Несмотря на то, что изначально исследователь сообщал о 114 000 уязвимых DVR, доступных из интернета, по данным «Лаборатории Касперского» сейчас эта цифра сократилась примерно до 50 000. Тем не менее, масштаб проблемы остаётся значительным. Больше всего заражённых устройств зафиксировано в Китае, Индии, Египте, Украине, России, Турции и Бразилии. Однако эти данные отражают только те регионы, где активно используется телеметрия «Лаборатории Касперского», и не обязательно показывают полную картину.
На момент публикации остаётся неясным, выпустила ли компания TBK Vision обновление безопасности, закрывающее уязвимость CVE-2024-3721. Запрос, направленный в компанию, пока остаётся без ответа. Ситуацию дополнительно осложняет тот факт, что модели DVR-4104 и DVR-4216 активно распространялись под различными брендами — среди них Novo, CeNova, QSee, Pulnix, XVR 5 in 1, Securus, Night OWL, DVR Login, HVR Login и MDVR. Из-за этого вопрос наличия исправлений для конкретных устройств остаётся открытым.
Netsecfish ранее уже находил уязвимости, активно использовавшиеся злоумышленниками в аналогичных сценариях. В 2024 году он сообщил о бэкдор-аккаунте и новой инъекции команд в десятках тысяч устаревших маршрутизаторов D-Link, что также привело к быстрой волне атак. В обоих случаях прошло всего несколько дней между публикацией PoC и появлением активной эксплуатации в реальных атаках — тенденция, подтверждающая, насколько быстро киберпреступники адаптируют открытые наработки.
В совокупности эта атака показывает уязвимость устройств, оставшихся без поддержки, и указывает на необходимость срочного отключения или сегментирования оборудования, не получающего обновлений безопасности. В противном случае оно быстро становится частью новых ботнетов, которые продолжают развиваться и адаптироваться к меняющемуся ландшафту угроз.