Descoberta e escopo
Uma campanha de botnet recém-identificada está explorando ativamente uma falha crítica em gravadores de vídeo digitais (DVR) da TBK para implantar um malware perigoso conhecido como Nexcorium, uma ameaça baseada em Mirai projetada para lançar ataques de negação de serviço distribuído (DDoS) em larga escala.
A vulnerabilidade no centro desta campanha, CVE-2024-3721, possui uma pontuação CVSS de 6,3 e afeta os modelos de dispositivo TBK DVR-4104 e DVR-4216, que se tornaram alvos primários devido ao seu firmware desatualizado e credenciais padrão consistentemente fracas. Os dispositivos DVR da TBK afetados por esta campanha têm estado há muito tempo no radar de pesquisadores de segurança devido à sua implantação generalizada em pequenas empresas, lojas de varejo e configurações de vigilância onde o patching regular raramente é uma prioridade.
Vetor e exploração
Uma vez que os atacantes encontram um dispositivo exposto, eles enviam uma solicitação HTTP especialmente elaborada para o endpoint vulnerável em /device.rsp?opt=sys&cmd=___S_O_S_T_R_E_A_MAX___, injetando comandos do sistema operacional sem exigir qualquer autenticação. Este único passo dá ao atacante execução remota de código no dispositivo, transformando o que era uma vez um gravador de câmera de segurança em um participante relutante em uma rede de ataque coordenada.
Os pesquisadores do FortiGuard Labs da Fortinet identificaram e analisaram esta campanha em detalhes, rastreando a cadeia de infecção completa desde a exploração inicial até a entrega de payload e estabelecimento de persistência. Suas descobertas confirmaram que o Nexcorium compartilha uma arquitetura central com a botnet Mirai original, incluindo uma tabela de configuração codificada XOR, um módulo watchdog que mantém o malware em execução e um módulo de ataque DDoS dedicado pronto para inundar alvos sob comando.
Evidências e limites
A Fortinet observou que o malware exibe a mensagem "nexuscorp has taken control" na execução, uma assinatura deliberada que os atores de ameaças incorporaram para anunciar sua presença no dispositivo infectado. A campanha não para apenas nos DVRs da TBK. Os pesquisadores também observaram o Nexcorium mirando roteadores Wi-Fi TP-Link de fim de vida, explorando o CVE-2017-17215 para ampliar o pool de dispositivos infectados.
Esta abordagem de alvo duplo revela uma estratégia bem planejada para construir uma botnet mista e ampla atacando hardware que organizações e usuários domésticos provavelmente não vão patchear ou substituir a qualquer momento. O alcance combinado de ambos os tipos de dispositivos cria uma infraestrutura de ataque grande e geograficamente distribuída que pode ser direcionada para campanhas DDoS em escala.
Impacto e alcance
O impacto deste malware vai além dos dispositivos individuais que ele infecta. Cada DVR ou roteador comprometido se torna um amplificador em uma rede capaz de gerar inundações de tráfego massivas contra serviços online, empresas e infraestrutura crítica. Como esses dispositivos são executados continuamente e ficam atrás de endereços IP reais, o tráfego resultante da botnet parece legítimo para muitos sistemas de filtragem, tornando os ataques impulsionados pelo Nexcorium mais difíceis de bloquear efetivamente.
Como o Nexcorium se fixa e evita remoção
Uma vez que o Nexcorium aterrissa em um DVR da TBK, seu mecanismo de infecção segue uma sequência estruturada projetada para garantir que permaneça ativo mesmo se o dispositivo for reiniciado ou interferido. A exploração inicial do CVE-2024-3721 recupera um script de download, que então identifica a arquitetura de processador do sistema Linux subjacente e puxa a variante binária compilada correta do malware para aquele hardware específico.
O Nexcorium suporta múltiplas arquiteturas de CPU, o que significa que pode infectar uma ampla gama de hardware IoT além dos alvos iniciais sem precisar ser reescrito. Após implantar o binário correto, o malware se incorpora usando múltiplos métodos de persistência para garantir que sobreviva a reinicializações e tentativas de terminação manual.
Os pesquisadores da Fortinet observaram que o Nexcorium configura um canal de comunicação C2 através do qual o operador da botnet pode emitir comandos DDoS, monitorar o status da vítima e empurrar instruções adicionais diretamente para nós infectados. O malware fortalece ainda mais sua posição executando um processo watchdog que monitora continuamente se o processo de payload principal ainda está ativo, reiniciando-o automaticamente se algo interromper sua execução.
Medidas de mitigação recomendadas
Organizações e indivíduos que executam dispositivos TBK DVR-4104 ou DVR-4216 devem substituí-los imediatamente por modelos suportados, já que o fabricante não lançou um patch para o CVE-2024-3721 e esses dispositivos são considerados fim de vida do ponto de vista de segurança. Da mesma forma, qualquer roteador TP-Link executando firmware desatualizado suscetível ao CVE-2017-17215 deve ser aposentado e substituído.
Administradores também devem garantir que todos os dispositivos IoT voltados para a internet usem senhas fortes e únicas em vez de padrões de fábrica, já que o módulo de força bruta do Nexcorium visa especificamente dispositivos que ainda executam credenciais comuns. A segmentação de rede é fortemente recomendada, mantendo DVRs e hardware de vigilância isolados de sistemas internos críticos para limitar o dano se um dispositivo for comprometido.
Onde possível, desabilitar o acesso remoto às interfaces de gerenciamento de DVR que não requerem conectividade externa é uma das maneiras mais eficazes de fechar a superfície de ataque na qual esta campanha se baseia.
Perguntas frequentes
Qual é a vulnerabilidade explorada? CVE-2024-3721 em DVRs TBK.
Qual o impacto? Infecção por malware Nexcorium e participação em botnets DDoS.
Como se proteger? Substitua dispositivos descontinuados e use senhas fortes.
Existe patch? Não, os dispositivos são considerados fim de vida.