Mirai惡意軟件僵尸網絡的一個新變種正在利用TBK DVR-4104和DVR-4216數字視頻錄制設備中的命令注入漏洞來劫持它們。

該漏洞被CVE-2024-3721跟蹤，是安全研究人員netsecfish于2024年4月披露的一個命令注入漏洞。研究人員當時發布的概念驗證（PoC）以特制的POST請求的形式發送給易受攻擊的端點，通過操縱某些參數（mdb和mdc）實現shell命令的執行。

卡巴斯基報告說，利用netsecfish的PoC，他們在Linux蜜罐中發現了一個新的Mirai僵尸網絡變體對CVE-2024-3721的積極利用。

攻擊者利用該漏洞釋放ARM32惡意軟件二進制文件，該二進制文件與命令和控制（C2）服務器建立通信，以將設備招募到僵尸網絡群。從那里，該設備很可能被用來進行分布式拒絕服務（DDoS）攻擊、代理惡意流量和其他行為。

Mirai的環境檢查

攻擊影響和修復

盡管netsecfish去年報告稱，大約有114000臺暴露在互聯網上的dvr易受CVE-2024-3721的攻擊，但卡巴斯基的掃描顯示，大約有50000臺暴露設備。

netsecfish認為，與最新的Mirai變種有關的大多數感染都發生在印度、埃及、烏克蘭、俄羅斯、土耳其和巴西。然而，這是基于卡巴斯基的遙測，并且由于其消費者安全產品在許多國家被禁止，這可能無法準確反映僵尸網絡的目標重點。

目前，尚不清楚供應商TBK Vision是否已經發布了安全更新來解決CVE-2024-3721漏洞，或者是否仍未修補。值得注意的是，DVR-4104和DVR-4216已經在Novo， CeNova, QSee, Pulnix, XVR 5 in 1, Securus, Night OWL, DVR Login， HVR Login和MDVR品牌下進行了廣泛的重新命名，因此受影響設備的補丁可用性是一個復雜的問題。

披露TBK Vision漏洞的研究人員去年還發現了其他漏洞，這些漏洞助長了對報廢設備的攻擊。具體來說，netsecfish在2024年披露了一個后門賬戶問題和一個命令注入漏洞，影響了數萬臺EoL D-Link設備。

在PoC披露后的幾天內，在這兩起案件中都發現了活躍的利用，這也表明了網絡犯罪分子將公共漏洞納入其武器庫的速度之快。

參考及來源：https://www.bleepingcomputer.com/news/security/new-mirai-botnet-infect-tbk-dvr-devices-via-command-injection-flaw/