【安全资讯】新型Mirai僵尸网络利用命令注入漏洞感染TBK DVR设备

概要：

近日，一种新型Mirai僵尸网络变种正在利用TBK DVR-4104和DVR-4216数字视频录像设备中的命令注入漏洞（CVE-2024-3721）进行攻击。该漏洞由安全研究员“netsecfish”于2024年4月披露，攻击者通过精心构造的POST请求实现命令注入，从而控制设备并加入僵尸网络。卡巴斯基报告称，已在其Linux蜜罐中捕获到该漏洞的活跃利用行为。

主要内容：

该漏洞允许攻击者通过操纵特定参数（mdb和mdc）执行shell命令，进而投放ARM32恶意软件二进制文件。恶意软件会与命令与控制（C2）服务器建立通信，将受感染设备纳入僵尸网络群。这些设备随后可能被用于发起分布式拒绝服务（DDoS）攻击、代理恶意流量等行为。

卡巴斯基的扫描显示，目前约有5万台设备暴露于该漏洞，主要分布在中国、印度、埃及、乌克兰、俄罗斯、土耳其和巴西。然而，由于卡巴斯基的消费者安全产品在许多国家被禁用，这一数据可能无法准确反映僵尸网络的真实目标分布。

目前尚不清楚TBK Vision是否已发布安全更新修复该漏洞。值得注意的是，DVR-4104和DVR-4216设备已被多个品牌重新贴牌销售，包括Novo、CeNova、QSee等，因此补丁的获取情况较为复杂。

此次事件再次凸显了公开漏洞利用代码被迅速整合到恶意软件中的风险。安全团队需尽快采取自动化补丁管理措施，以减少此类攻击的影响。