Nueva variante de Mirai explota CVE-2024-3721 en DVR TBK para ataques DDoS

Una nueva variante de la botnet Mirai está explotando activamente una vulnerabilidad crítica de inyección de comandos en dispositivos de grabación de video digital (DVR) de TBK Vision, específicamente los modelos DVR-4104 y DVR-4216. El objetivo de los atacantes es secuestrar estos dispositivos para integrarlos en botnets y realizar ataques cibernéticos masivos, como ataques de denegación de servicio distribuido (DDoS) y tráfico proxy malicioso.

CVE-2024-3721: Vulnerabilidad crítica en dispositivos IoT

La falla, identificada como CVE-2024-3721, fue revelada públicamente por el investigador de seguridad conocido como "netsecfish" en abril de 2024. Se trata de una vulnerabilidad de inyección de comandos que puede ser explotada a través de una solicitud POST maliciosamente diseñada, permitiendo la ejecución remota de comandos de shell en dispositivos vulnerables mediante la manipulación de parámetros como mdb y mdc.

Una prueba de concepto (PoC) publicada por el investigador demostró lo sencillo que es explotar esta debilidad en los sistemas expuestos a Internet.

Explotación activa por variante de Mirai

Recientemente, la firma de ciberseguridad Kaspersky ha detectado la explotación activa de CVE-2024-3721 en sus honeypots de Linux. Según sus análisis, una nueva variante de la botnet Mirai está utilizando la PoC publicada para tomar control de los DVR afectados.

Los atacantes cargan un binario de malware ARM32 que conecta el dispositivo comprometido con un servidor de comando y control (C2). A partir de ahí, el dispositivo es utilizado para realizar actividades maliciosas típicas de botnets Mirai, como:

• Ataques DDoS masivos contra infraestructuras críticas
• Tráfico proxy encubierto
• Escaneo y explotación de otros dispositivos vulnerables

Impacto global y alcance de la amenaza

Aunque netsecfish informó inicialmente que más de 114,000 dispositivos DVR vulnerables estaban expuestos a Internet, los escaneos más recientes de Kaspersky revelan alrededor de 50,000 dispositivos aún en riesgo, lo que representa una superficie de ataque significativa.

Los países más afectados por esta variante de Mirai, según la telemetría de Kaspersky, incluyen:

• China
• India
• Egipto
• Ucrania
• Rusia
• Turquía
• Brasil

Cabe destacar que la telemetría puede no reflejar con precisión el alcance global debido a restricciones de uso de productos Kaspersky en ciertos países.

¿Se han lanzado parches de seguridad?

Hasta el momento, no está claro si TBK Vision ha emitido parches para mitigar la vulnerabilidad CVE-2024-3721. El medio especializado BleepingComputer intentó contactar con la empresa para confirmar la existencia de actualizaciones de seguridad, pero no ha recibido respuesta.

Un aspecto crítico a considerar es que los modelos afectados han sido rebrandeados bajo múltiples marcas, como:

• Novo
• CeNova
• QSee
• Pulnix
• XVR 5 en 1
• Securus
• Night OWL
• DVR Login
• HVR Login
• MDVR

Esto complica enormemente la identificación y aplicación de parches en entornos donde estos dispositivos están desplegados.

Un patrón recurrente: explotación tras divulgación pública

Este no es el primer caso en que vulnerabilidades reveladas por netsecfish son rápidamente explotadas por actores de amenazas. En 2023, el investigador expuso una cuenta de puerta trasera (backdoor) y una vulnerabilidad de inyección de comandos en dispositivos D-Link al final de su vida útil (EoL).

En ambos casos, la explotación activa se detectó pocos días después de la publicación de la prueba de concepto, lo que evidencia la velocidad con la que los grupos de malware integran nuevos exploits públicos a sus herramientas.

Recomendaciones de seguridad

• Para mitigar los riesgos asociados a esta vulnerabilidad, se recomienda:
• Desconectar de Internet cualquier DVR TBK afectado o rebrandeado hasta que se confirme su actualización.
• Aplicar parches de seguridad tan pronto estén disponibles.
• Implementar reglas de firewall que bloqueen accesos no autorizados a los dispositivos.
• Utilizar soluciones de seguridad IoT y segmentar la red para minimizar el impacto en caso de compromiso.
• Monitorizar comportamientos inusuales en los dispositivos, como un aumento en el tráfico saliente o conexiones inesperadas a servidores externos.

En fin, la explotación activa de CVE-2024-3721 por parte de una nueva variante de Mirai demuestra la persistente amenaza que representan las vulnerabilidades no parcheadas en dispositivos IoT. La rápida adopción de estos exploits por parte de ciberdelincuentes refuerza la necesidad de actuar con prontitud ante cualquier alerta de seguridad y fortalecer las defensas en infraestructuras críticas conectadas a Internet.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta