Hack Alerta

Variantes do Mirai exploram falha em DVRs TBK para formar botnet DDoS

Por Redação Hack Alerta Publicado em 18/04/2026 05:14 Cyber ataques Tempo de leitura: 6 min

Ataques exploram falha em DVRs TBK e roteadores TP-Link para implantar botnet Mirai. Vulnerabilidade CVE-2024-3721 permite execução remota de comandos sem autenticação.

Ataques coordenados estão explorando uma vulnerabilidade de injeção de comandos em gravadores de vídeo digitais (DVRs) da marca TBK e roteadores Wi-Fi TP-Link fora de suporte para implantar variantes do botnet Mirai, conforme revelado por pesquisadores da Fortinet FortiGuard Labs e da Palo Alto Networks Unit 42.

Descoberta e escopo da ameaça

A campanha identificada utiliza a vulnerabilidade CVE-2024-3721, classificada com pontuação CVSS de 6,3 (média), para comprometer dispositivos IoT conectados à internet. A falha permite a execução remota de comandos sem autenticação adequada, facilitando a instalação de malware que transforma os equipamentos em nós de uma botnet voltada para ataques de negação de serviço distribuído (DDoS).

Os dispositivos afetados incluem modelos específicos de DVRs da TBK, amplamente utilizados em sistemas de vigilância no Brasil e globalmente, além de roteadores Wi-Fi da TP-Link que atingiram o fim do ciclo de vida (EoL). A persistência desses equipamentos em redes corporativas e residenciais representa um vetor de ataque significativo, dado o volume de dispositivos não atualizados em operação.

Vetor de exploração e técnica de ataque

A exploração da CVE-2024-3721 ocorre através de requisições HTTP malformadas direcionadas às portas de gerenciamento dos dispositivos. Uma vez obtido acesso, o malware Nexcorium, variante do Mirai, é baixado e executado, estabelecendo conexões com servidores de comando e controle (C2) para receber instruções de ataque.

O malware é projetado para ser leve e eficiente, consumindo poucos recursos do sistema para evitar detecção por ferramentas de monitoramento básicas. A capacidade de se replicar automaticamente em outros dispositivos vulneráveis na mesma rede local amplia o alcance do ataque rapidamente, sem necessidade de interação humana adicional.

Impacto operacional e riscos para o Brasil

Para o mercado brasileiro, o impacto é relevante devido à popularidade das marcas envolvidas. Empresas de pequeno e médio porte, que frequentemente utilizam DVRs TBK para segurança física, podem ter seus dispositivos comprometidos sem conhecimento dos administradores de TI. Isso pode resultar em:

  • Uso da infraestrutura de rede local para lançar ataques DDoS contra terceiros, expondo a organização a responsabilidades legais.
  • Comprometimento de dados de vídeo de vigilância, violando a privacidade de funcionários e clientes.
  • Interrupção de serviços de rede devido ao tráfego malicioso gerado pelos dispositivos infectados.

A falta de suporte oficial para os roteadores TP-Link EoL agrava o cenário, pois não há correções de segurança disponíveis diretamente do fabricante, exigindo que as organizações busquem alternativas de mitigação ou substituição imediata.

Medidas de mitigação recomendadas

Diante da exploração ativa confirmada, as equipes de segurança devem adotar as seguintes ações imediatas:

  1. Isolamento de rede: Segmentar dispositivos IoT em redes separadas, impedindo que um comprometimento se propague para sistemas críticos.
  2. Atualização de firmware: Verificar se existem patches disponíveis para os modelos de DVRs TBK em uso. Caso contrário, considerar a substituição por equipamentos com suporte ativo.
  3. Alteração de credenciais: Garantir que todas as senhas padrão dos dispositivos sejam alteradas para credenciais fortes e únicas.
  4. Monitoramento de tráfego: Implementar regras de firewall para bloquear conexões de saída suspeitas originadas de dispositivos IoT, especialmente para portas não utilizadas.
  5. Inventário de ativos: Mapear todos os dispositivos IoT conectados à rede para identificar potenciais alvos da campanha.

Análise técnica detalhada

A vulnerabilidade CVE-2024-3721 reside na falha de validação de entrada em um componente de gerenciamento remoto dos dispositivos. O ataque não requer autenticação, permitindo que qualquer usuário na internet envie comandos arbitrários ao sistema operacional subjacente do DVR.

Os pesquisadores observaram que o malware Nexcorium utiliza criptografia para ofuscar o tráfego de C2, dificultando a identificação por sistemas de detecção baseados em assinatura. Além disso, o malware possui mecanismos de persistência que garantem sua execução mesmo após reinicializações do dispositivo.

Implicações regulatórias e LGPD

O comprometimento de DVRs que gravam imagens de pessoas pode configurar violação de dados pessoais sob a Lei Geral de Proteção de Dados (LGPD). Se os vídeos armazenados forem acessados por atacantes ou se os dispositivos forem usados para coletar dados sem consentimento, a organização pode enfrentar sanções administrativas e multas.

A ANPD tem enfatizado a necessidade de medidas de segurança adequadas para proteção de dados, incluindo a gestão de riscos de dispositivos IoT. A falha em proteger esses ativos pode ser interpretada como negligência na implementação de controles de segurança.

O que os CISOs devem fazer agora

Executivos de segurança devem priorizar a avaliação de risco dos dispositivos IoT em suas redes. A exploração ativa da CVE-2024-3721 exige ação imediata, pois a janela de oportunidade para os atacantes está aberta. Recomenda-se a implementação de políticas de segurança específicas para IoT, incluindo a proibição de dispositivos EoL em redes corporativas.

A colaboração com fornecedores de segurança e a participação em comunidades de compartilhamento de inteligência de ameaças podem fornecer informações atualizadas sobre novas variantes do malware e táticas de ataque em evolução.

Perguntas frequentes

Como saber se meu DVR TBK está infectado?
Verifique o consumo de recursos do dispositivo. Um aumento súbito no uso de CPU ou memória, além de tráfego de rede incomum, pode indicar infecção. Ferramentas de varredura de malware específicas para IoT também podem ajudar.

Devo desligar os dispositivos imediatamente?
Desligar pode interromper a vigilância de segurança física. O ideal é isolar o dispositivo na rede e realizar a análise forense antes de tomar medidas definitivas, como formatação ou substituição.

Existe patch oficial para a CVE-2024-3721?
Até o momento, a fabricante não divulgou um patch específico. A recomendação é substituir os dispositivos por modelos com suporte ativo ou aplicar mitigações de rede.

Baseado em publicação original de The Hacker News
Tags: #=mirai #botnet #ddos #cve-2024-3721 #tbk #dvr #iot #seguranca #vulnerabilidade
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar