نوع جدیدی از بدافزار باتنت Mirai با اکسپلویت از آسیبپذیری تزریق فرمان در دستگاههای ضبط ویدیوی دیجیتال TBK DVR-4104 و DVR-4216 اقدام به استقرار بدافزار در سیستمهای آسیبپذیر و انجام حملات DDoS میکند که وبسایتها و سرویسها را تحت الشعاع قرار میدهد.
این نقص امنیتی با شناسه CVE-2024-3721 (امتیاز 6.3)، یک آسیبپذیری تزریق فرمان است که توسط محقق امنیتی “netsecfish” در آوریل 2024 افشا شد. کد اکسپلویت PoC که محقق در آن زمان منتشر کرد، به شکل درخواست POST دستکاری شده به نقطه پایانی آسیبپذیر بود که از طریق دستکاری پارامترهای خاص (mdb و mdc) به اجرای شِلکامند دست یافت. این باتها اغلب دارای اکسپلویتهای اجرای کد از راه دور (RCE) هستند که سرویسهای HTTP را هدف قرار میدهند و به مهاجمان اجازه میدهند دستورات لینوکس را در درخواستهای GET یا POST جاسازی کنند. کسپرسکی در گزارشی گفت: اکسپلویت فعال از CVE-2024-3721 را در هانیپاتهای لینوکس خود از نوع جدید باتنت Mirai با استفاده از PoC netsecfish برای هدف قرار دادن سیستمهای نظارتی مبتنی بر DVR شناسایی کرده است. به طور کلی مهاجمان از این اکسپلویت به منظور انتشار باینری بدافزار ARM32 استفاده میکنند که با سرور فرمان و کنترل (C2) ارتباط برقرار میکند تا دستگاه را به گروه باتنتها متصل کند. سپس از دستگاه برای انجام حملات منع سرویس توزیع شده (DDoS)، ترافیک مخرب پروکسی و سایر رفتارها استفاده میشود.
https://www.bleepingcomputer.com/news/security/new-mirai-botnet-infect-tbk-dvr-devices-via-command-injection-flaw/
https://securelist.com/mirai-botnet-variant-targets-dvr-devices-with-cve-2024-3721/116742/
