Mirai 恶意软件僵尸网络的一个新变种正在利用 TBK DVR-4104 和 DVR-4216 数字视频录制设备中的命令注入漏洞来劫持它们。

该漏洞被 CVE-2024-3721 跟踪，是安全研究人员 netsecfish 于 2024 年 4 月披露的一个命令注入漏洞。研究人员当时发布的概念验证（PoC）以特制的 POST 请求的形式发送给易受攻击的端点，通过操纵某些参数（mdb 和 mdc）实现 shell 命令的执行。

卡巴斯基报告说，利用 netsecfish 的 PoC，他们在 Linux 蜜罐中发现了一个新的 Mirai 僵尸网络变体对 CVE-2024-3721 的积极利用。

攻击者利用该漏洞释放 ARM32 恶意软件二进制文件，该二进制文件与命令和控制（C2）服务器建立通信，以将设备招募到僵尸网络群。从那里，该设备很可能被用来进行分布式拒绝服务（DDoS）攻击、代理恶意流量和其他行为。

Mirai 的环境检查

攻击影响和修复

尽管 netsecfish 去年报告称，大约有 114000 台暴露在互联网上的 dvr 易受 CVE-2024-3721 的攻击，但卡巴斯基的扫描显示，大约有 50000 台暴露设备。

netsecfish 认为，与最新的 Mirai 变种有关的大多数感染都发生在印度、埃及、乌克兰、俄罗斯、土耳其和巴西。然而，这是基于卡巴斯基的遥测，并且由于其消费者安全产品在许多国家被禁止，这可能无法准确反映僵尸网络的目标重点。

目前，尚不清楚供应商 TBK Vision 是否已经发布了安全更新来解决 CVE-2024-3721 漏洞，或者是否仍未修补。值得注意的是，DVR-4104 和 DVR-4216 已经在 Novo， CeNova, QSee, Pulnix, XVR 5 in 1, Securus, Night OWL, DVR Login， HVR Login 和 MDVR 品牌下进行了广泛的重新命名，因此受影响设备的补丁可用性是一个复杂的问题。

披露 TBK Vision 漏洞的研究人员去年还发现了其他漏洞，这些漏洞助长了对报废设备的攻击。具体来说，netsecfish 在 2024 年披露了一个后门账户问题和一个命令注入漏洞，影响了数万台 EoL D-Link 设备。

在 PoC 披露后的几天内，在这两起案件中都发现了活跃的利用，这也表明了网络犯罪分子将公共漏洞纳入其武器库的速度之快。