Uma nova campanha de malware está em curso, explorando a falha de injeção de comando CVE-2024-3721 em dispositivos DVR TBK, como parte de uma ofensiva mais ampla da botnet Mirai. A vulnerabilidade, revelada em 2024, está sendo ativamente utilizada por cibercriminosos para recrutar dispositivos vulneráveis em ataques distribuídos de negação de serviço (DDoS) e outras atividades maliciosas.
Nova variante da botnet Mirai explora falha crítica em DVRs TBK para lançar ataques DDoS
Botnet Mirai evolui e atinge dispositivos DVR com nova vulnerabilidade
A botnet Mirai, conhecida por explorar dispositivos IoT mal configurados, acaba de ganhar uma nova variante capaz de comprometer dispositivos DVR TBK DVR-4104 e DVR-4216. A Kaspersky identificou recentemente essa versão atualizada do Mirai operando em honeypots Linux, usando uma prova de conceito (PoC) publicada pelo pesquisador netsecfish em abril de 2024.
A vulnerabilidade CVE-2024-3721 permite execução remota de comandos via uma requisição POST maliciosa, manipulando os parâmetros mdb e mdc. Essa brecha, ainda sem correção oficial divulgada, oferece aos atacantes uma porta de entrada direta para implantar malware no sistema.
A escala do problema: milhares de dispositivos expostos
Estima-se que cerca de 50 mil dispositivos estejam atualmente expostos à Internet e vulneráveis ao CVE-2024-3721. Embora esse número represente uma queda em relação aos 114 mil apontados inicialmente em 2024, o risco permanece elevado. Os principais países afetados, segundo a telemetria da Kaspersky, incluem China, Índia, Egito, Ucrânia, Rússia, Turquia e Brasil.
O malware, após a infecção, instala um binário compilado para arquitetura ARM32, que então se comunica com um servidor de comando e controle (C2), alistando o dispositivo para realizar ataques coordenados. Esses dispositivos comprometidos podem ser usados como proxies maliciosos ou plataformas para executar ataques DDoS em larga escala.
Complexidade nas correções e rebranding dos dispositivos
Um dos maiores obstáculos à mitigação desse problema é a complexidade envolvendo as atualizações de firmware. Os modelos TBK DVR-4104 e DVR-4216 são amplamente vendidos sob diversas marcas, incluindo Novo, CeNova, QSee, Pulnix, Night OWL, Securus, DVR Login, HVR Login, MDVR, entre outras.
Isso dificulta a distribuição e instalação de correções, uma vez que nem sempre é possível associar o modelo original ao firmware correto. Além disso, a TBK Vision ainda não confirmou publicamente a existência de uma correção para essa falha crítica. O site BleepingComputer tentou contato com a empresa, mas até o momento não obteve resposta.
Histórico preocupante de falhas em dispositivos legado
O pesquisador netsecfish, responsável pela descoberta da vulnerabilidade, já havia revelado anteriormente falhas em dispositivos D-Link obsoletos, incluindo backdoors e falhas de injeção de comandos. Em todos os casos, a exploração ativa ocorreu poucos dias após a divulgação pública dos PoCs, indicando a velocidade com que operadores de botnets como a Mirai incorporam novos exploits.
Este cenário alerta para a importância de desconectar dispositivos sem suporte ativo de segurança e priorizar a substituição de equipamentos em fim de vida útil. Dispositivos legados e sem patching representam uma superfície de ataque crescente e de alto risco na infraestrutura de IoT.
Conclusão: Risco persistente e necessidade de ações urgentes
A nova variante da botnet Mirai, explorando a CVE-2024-3721, reforça a urgência de ações coordenadas entre fabricantes, usuários e especialistas em segurança. Em tempos de ataques cada vez mais automatizados e massivos, a presença de dispositivos vulneráveis e obsoletos conectados à internet representa um vetor crítico para incidentes em larga escala.
Usuários devem realizar auditorias em seus sistemas, verificar modelos rebatizados de DVRs TBK, desconectar ou substituir dispositivos desatualizados e implementar firewalls e restrições de acesso como medida imediata de contenção.
