Biến thể Mirai Nexcorium tấn công thiết bị DVR TBK qua lỗ hổng CVE-2024-3721

Trong bối cảnh các mối đe dọa an ninh mạng ngày càng tinh vi, các nhóm tin tặc đang tận dụng những lỗ hổng bảo mật trong thiết bị Internet of Things (IoT) để mở rộng quy mô các cuộc tấn công. Theo báo cáo mới nhất từ Fortinet FortiGuard Labs và Palo Alto Networks Unit 42, một chiến dịch tấn công quy mô lớn đang nhắm vào các thiết bị DVR của TBK và router Wi-Fi TP-Link đã hết hỗ trợ. Cuộc tấn công này sử dụng biến thể mới của botnet Mirai có tên Nexcorium, đánh dấu sự phát triển nguy hiểm trong lĩnh vực các mối đe dọa IoT.

Chi tiết sự việc

Chiến dịch tấn công này tập trung khai thác lỗ hổng CVE-2024-3721 với điểm CVSS là 6.3, được phân loại ở mức độ nghiêm trọng trung bình. Lỗ hổng này là một lỗ hổng command injection cho phép kзлоumчивые có thể thực thi các lệnh tùy ý trên hệ thống bị tấn công. Các thiết bị DVR của thương hiệu TBK, thường được sử dụng trong các hệ thống giám sát và camera an ninh, trở thành mục tiêu chính của cuộc tấn công này do tính phổ biến và thường xuyên thiếu các bản cập nhật bảo mật.

Song song đó, các nhóm tin tặc cũng nhắm vào những router Wi-Fi TP-Link đã hết thời gian hỗ trợ (end-of-life). Những thiết bị này đặc biệt dễ bị tấn công vì không còn nhận được các bản vá bảo mật từ nhà sản xuất. Kẻ tấn công tận dụng điều này để cài đặt payload độc hại và biến các thiết bị này thành một phần của mạng botnet Mirai mở rộng.

Mức độ nghiêm trọng

Việc triển khai thành công biến thể Nexcorium có thể dẫn đến hậu quả nghiêm trọng đối với cả cá nhân và doanh nghiệp. Khi các thiết bị DVR và router bị nhiễm malware, chúng sẽ trở thành một phần của mạng botnet có thể được sử dụng để thực hiện các cuộc tấn công từ chối dịch vụ phân tán (DDoS) quy mô lớn. Những cuộc tấn công này có thể làm tê liệt các dịch vụ trực tuyến quan trọng, gây thiệt hại kinh tế đáng kể và ảnh hưởng đến hoạt động kinh doanh.

Đặc biệt nguy hiểm là khả năng lan truyền nhanh chóng của malware này trong môi trường mạng nội bộ. Một khi đã xâm nhập thành công, Nexcorium có thể tự động tìm kiếm và lây nhiễm các thiết bị IoT khác trong cùng mạng, tạo ra hiệu ứng domino và mở rộng phạm vi tấn công. Điều này đặc biệt đáng lo ngại đối với các doanh nghiệp có hệ thống camera giám sát và thiết bị mạng quy mô lớn.

Phân tích kỹ thuật

Biến thể Nexcorium của Mirai sử dụng các kỹ thuật tấn công tinh vi để khai thác lỗ hổng CVE-2024-3721. Malware này có khả năng thực hiện command injection thông qua việc lợi dụng các tham số đầu vào không được kiểm tra đúng cách trong firmware của thiết bị DVR. Sau khi xâm nhập thành công, nó sẽ tải xuống và cài đặt payload chính, cho phép kẻ tấn công kiểm soát hoàn toàn thiết bị bị nhiễm.

Điểm đặc biệt của Nexcorium là khả năng tự động hóa cao trong việc tìm kiếm và tấn công các thiết bị dễ bị tổn thương. Malware này được trang bị danh sách các lỗ hổng đã biết và có thể tự động quét mạng để tìm kiếm các thiết bị có thể khai thác. Ngoài ra, nó còn có khả năng cập nhật cấu hình và nhận lệnh từ các máy chủ command-and-control (C&C), giúp kẻ tấn công dễ dàng điều khiển toàn bộ mạng botnet từ xa.

Khuyến nghị bảo mật

Để bảo vệ khỏi cuộc tấn công này, các tổ chức và cá nhân cần thực hiện ngay các biện pháp bảo mật cần thiết. Trước tiên, cần kiểm tra và cập nhật firmware cho tất cả thiết bị DVR và router đang sử dụng, đặc biệt chú ý đến các thiết bị TBK và TP-Link. Đối với những thiết bị đã hết hỗ trợ, nên cân nhắc thay thế bằng các thiết bị mới có tính bảo mật cao hơn. Ngoài ra, cần thay đổi mật khẩu mặc định, vô hiệu hóa các dịch vụ không cần thiết, và triển khai giám sát mạng để phát hiện sớm các hoạt động bất thường từ các thiết bị IoT trong hệ thống.