Biến thể Mirai Nexcorium khai thác lỗ hổng CVE-2024-3721 tấn công DVR

Theo báo cáo mới nhất từ Fortinet FortiGuard Labs và Palo Alto Networks Unit 42, các tác nhân mạng đang tích cực khai thác những lỗ hổng bảo mật nghiêm trọng trên thiết bị DVR của TBK và các router Wi-Fi TP-Link đã hết hạn hỗ trợ. Mục tiêu của chúng là triển khai các biến thể botnet Mirai lên những thiết bị bị xâm phạm, biến chúng thành vũ khí tấn công mạng quy mô lớn. Đây là một diễn biến đáng lo ngại trong bối cảnh các thiết bị IoT ngày càng trở thành mục tiêu ưa thích của tội phạm mạng.

Chi tiết sự việc

Cuộc tấn công chủ yếu tập trung vào việc khai thác lỗ hổng CVE-2024-3721, một lỗ hổng tiêm lệnh có mức độ nghiêm trọng trung bình với điểm CVSS là 6.3. Lỗ hổng này ảnh hưởng đến các thiết bị DVR của thương hiệu TBK, cho phép kẻ tấn công thực thi mã độc từ xa mà không cần xác thực. Biến thể Mirai được sử dụng trong chiến dịch này mang tên Nexcorium, được thiết kế đặc biệt để tận dụng những điểm yếu cụ thể của các thiết bị IoT.

Ngoài việc nhắm vào thiết bị DVR, các tác nhân mạng còn tấn công những router Wi-Fi TP-Link đã hết hạn hỗ trợ bảo mật. Những thiết bị này đặc biệt dễ bị tấn công do không còn nhận được các bản vá bảo mật từ nhà sản xuất. Khi bị xâm phạm thành công, các thiết bị này sẽ được tích hợp vào mạng botnet và sử dụng để thực hiện các cuộc tấn công DDoS quy mô lớn.

Mức độ nghiêm trọng

Mặc dù CVE-2024-3721 chỉ được đánh giá ở mức độ nghiêm trọng trung bình, tác động thực tế của nó có thể rất lớn do số lượng thiết bị DVR TBK đang được sử dụng trên toàn cầu. Một khi bị kiểm soát, những thiết bị này có thể được sử dụng để tấn công các mục tiêu quan trọng như hạ tầng mạng, dịch vụ trực tuyến và các tổ chức chính phủ. Sức mạnh tấn công của botnet Mirai đã được chứng minh qua nhiều vụ việc nghiêm trọng trong quá khứ.

Điều đáng lo ngại là nhiều người dùng và doanh nghiệp không nhận thức được việc thiết bị của họ đã bị xâm phạm, do botnet Mirai thường hoạt động âm thầm mà không ảnh hưởng đến chức năng bình thường của thiết bị. Điều này có nghĩa là các cuộc tấn công có thể kéo dài trong thời gian dài trước khi được phát hiện, cho phép tội phạm mạng xây dựng được một mạng lưới botnet có quy mô lớn.

Phân tích kỹ thuật

Biến thể Nexcorium của Mirai sử dụng kỹ thuật tiêm lệnh để khai thác CVE-2024-3721, cho phép thực thi mã độc thông qua các tham số đầu vào không được kiểm tra đúng cách. Sau khi xâm nhập thành công, mã độc sẽ tải xuống và cài đặt payload chính, thiết lập kết nối với máy chủ điều khiển từ xa (C&C server). Quá trình này được thực hiện một cách tự động và không yêu cầu sự can thiệp của người dùng.

Để tránh bị phát hiện, Nexcorium sử dụng nhiều kỹ thuật che giấu và mã hóa. Nó có thể thay đổi tên tiến trình, xóa các file tạm thời và sử dụng các kênh liên lạc được mã hóa để giao tiếp với máy chủ điều khiển. Điều này khiến việc phát hiện và loại bỏ mã độc trở nên khó khăn hơn, đặc biệt đối với những thiết bị có khả năng giám sát bảo mật hạn chế.

Khuyến nghị bảo mật

Người dùng và doanh nghiệp cần thực hiện ngay các biện pháp bảo vệ để ngăn chặn cuộc tấn công này. Đối với thiết bị DVR TBK, cần kiểm tra và cập nhật firmware mới nhất từ nhà sản xuất nếu có. Các router TP-Link đã hết hạn hỗ trợ nên được thay thế bằng các model mới hơn và được hỗ trợ bảo mật đầy đủ. Ngoài ra, cần thay đổi mật khẩu mặc định, tắt các dịch vụ không cần thiết và thường xuyên giám sát lưu lượng mạng để phát hiện các hoạt động bất thường.