Hacker nutzen CVE-2024-3721, um TBK DVRs mit Nexcorium-DDoS-Malware zu infizieren

Eine neu identifizierte Botnet-Kampagne nutzt aktiv eine kritische Schwachstelle in TBK digitalen Videorecorder aus, um eine gefährliche Malware namens Nexcorium zu deployen, eine Mirai-basierte Bedrohung, die entwickelt Eine neu identifizierte Botnet-Kampagne nutzt aktiv eine kritische Schwachstelle in TBK digitalen Videorecorder aus, um eine gefährliche Malware namens Nexcorium zu deployen, eine Mirai-basierte Bedrohung, die entwickelt wurde, um groß angelegte Distributed-Denial-of-Service-Angriffe zu starten.

Die im Zentrum dieser Kampagne stehende Schwachstelle, CVE-2024-3721, weist einen CVSS-Score von 6,3 auf und betrifft die Geräte-Modelle TBK DVR-4104 und DVR-4216, von denen beide aufgrund ihrer veralteten Firmware und durchweg schwachen Standardanmeldeinformationen zu Hauptzielen geworden sind.

Die von dieser Kampagne betroffenen TBK DVR-Geräte stehen seit langem im Fokus von Sicherheitsforschern aufgrund ihres weit verbreiteten Einsatzes in kleinen Unternehmen, Einzelhandelsgeschäften und Überwachungsanlagen, bei denen regelmäßige Patches selten Priorität haben.

Sobald Angreifer ein exponiertes Gerät finden, senden sie eine speziell erstellte HTTP-Anfrage an den anfälligen Endpunkt unter /device.rsp?opt=sys&cmd=___S_O_S_T_R_E_A_MAX___ und injizieren Betriebssystembefehle, ohne dass eine Authentifizierung erforderlich ist.

Dieser einzelne Schritt ermöglicht dem Angreifer die Remote Code Execution auf dem Gerät und verwandelt einen einstigen Überwachungskamera-Recorder in ein widerwilliges Teilnehmer eines koordinierten Angriffsnetzwerks.

Forscher von Fortinet’s FortiGuard Labs identifizierten und analysierten diese Kampagne detailliert und verfolgten die gesamte Infektionskette von der anfänglichen Ausnutzung über die Nutzlastübermittlung bis zur Etablierung der Persistenz.