Uma nova variante da conhecida botnet Mirai está a tomar controlo de gravadores de vídeo digital (DVR) da marca TBK, explorando uma vulnerabilidade crítica para os transformar numa rede de dispositivos "zombie" ao serviço de ciberataques.
A falha de segurança, identificada como CVE-2024-3721, é uma vulnerabilidade de injeção de comandos que foi tornada pública em abril de 2024 pelo investigador de segurança "netsecfish". Este tipo de falha permite que um atacante execute comandos maliciosos diretamente no sistema operativo dos aparelhos vulneráveis.
O mecanismo do ataque
Na altura da divulgação, o investigador publicou uma prova de conceito (PoC) que detalhava o método de exploração. A técnica envolve o envio de um pedido POST especialmente concebido para um ponto de acesso vulnerável do sistema, manipulando certos parâmetros para conseguir executar código à distância.
Agora, a empresa de cibersegurança Kaspersky reporta ter detetado a exploração ativa desta vulnerabilidade nos seus sistemas de "honeypot" em Linux. Os atacantes utilizam a prova de conceito de netsecfish para instalar um ficheiro de malware (um binário ARM32) no dispositivo.
Uma vez infetado, o DVR estabelece comunicação com um servidor de comando e controlo (C2), integrando-se na rede da botnet. A partir desse momento, o aparelho pode ser utilizado para lançar ataques de negação de serviço distribuído (DDoS), servir de proxy para tráfego malicioso, entre outras atividades ilícitas.
Qual o alcance da ameaça?
Apesar de o investigador ter estimado inicialmente a existência de cerca de 114.000 DVRs expostos à internet e vulneráveis, as análises mais recentes da Kaspersky apontam para um número a rondar os 50.000 dispositivos. Embora inferior, este valor continua a ser extremamente significativo.
A empresa de cibersegurança russa indica que a maioria das infeções associadas a esta nova variante da Mirai se concentra na China, Índia, Egito, Ucrânia, Rússia, Turquia e Brasil. Contudo, estes dados são baseados na telemetria da Kaspersky e, como os seus produtos estão banidos em vários países, o mapa de infeções pode não refletir com precisão o foco real da botnet.
Um problema complexo e sem solução à vista
De momento, não é claro se a fabricante, a TBK Vision, já lançou atualizações de segurança para corrigir a falha CVE-2024-3721, ou se esta permanece sem qualquer correção.
A situação é ainda mais complicada pelo facto de os modelos afetados, o DVR-4104 e o DVR-4216, terem sido comercializados sob um vasto leque de outras marcas. Entre elas encontram-se nomes como Novo, CeNova, QSee, Pulnix, XVR 5 in 1, Securus, Night OWL, DVR Login, HVR Login e MDVR. Esta diversidade de marcas torna a distribuição de eventuais correções de segurança um verdadeiro pesadelo logístico.
Este incidente reforça a rapidez com que os criadores de malware incorporam vulnerabilidades públicas no seu arsenal. O mesmo investigador, netsecfish, já tinha descoberto outras falhas em dispositivos D-Link no final do seu ciclo de vida em 2024, que foram exploradas ativamente poucos dias após a divulgação das provas de conceito.
Nenhum comentário
Seja o primeiro!