La campaña explota dos vulnerabilidades en dispositivos IoT obsoletos sin parche disponible. El malware incluye watchdog, auto-replicación y ataques brute-force para expandirse automáticamente.
Investigadores de FortiGuard Labs identificaron una campaña activa de botnet que aprovecha una vulnerabilidad crítica en grabadores de vídeo digital (DVR) de la marca TBK para desplegar Nexcorium, una nueva variante del conocido malware Mirai diseñada para ejecutar ataques de denegación de servicio distribuido (DDoS) a gran escala. La vulnerabilidad explotada, identificada como CVE-2024-3721 con una puntuación CVSS de 6.3, permite inyección de comandos del sistema operativo sin autenticación previa, transformando dispositivos de videovigilancia en nodos de una red de ataque controlada remotamente.
Los modelos afectados son TBK DVR-4104 y DVR-4216, equipos ampliamente desplegados en pequeños comercios, locales de retail y sistemas de vigilancia donde el mantenimiento de firmware rara vez es prioritario. Según el análisis técnico publicado por Fortinet, los atacantes envían una petición HTTP especialmente diseñada al endpoint vulnerable /device.rsp?opt=sys&cmd=___S_O_S_T_R_E_A_MAX___, logrando ejecución remota de código con un solo request. El fabricante no ha publicado parche para esta vulnerabilidad y ambos modelos se consideran end-of-life desde la perspectiva de seguridad.
Nexcorium comparte la arquitectura central de Mirai, incluyendo una tabla de configuración codificada con XOR, un módulo watchdog que mantiene el malware en ejecución y un módulo dedicado a ataques DDoS listo para inundar objetivos bajo comando. Tras la explotación inicial, un script descargador llamado dvr identifica la arquitectura del procesador Linux subyacente y obtiene la variante binaria correcta del malware, soportando múltiples CPU incluyendo ARM, MIPS R3000 y x86-64.
La campaña no se limita a los DVRs de TBK. Los investigadores observaron que Nexcorium también integra un exploit para CVE-2017-17215, dirigido a routers TP-Link y Huawei HG532 que reached end-of-life hace años. Esta estrategia de doble objetivo revela un plan estructurado para construir una botnet heterogénea atacando hardware que organizaciones y usuarios domésticos difícilmente parchearán o reemplazarán. Cada dispositivo comprometido se convierte en un amplificador capaz de generar tráfico masivo contra servicios en línea, empresas e infraestructura crítica, con el agravante de que operan continuamente detrás de IPs reales, haciendo que el tráfico de la botnet parezca legítimo para muchos sistemas de filtrado.
Nexcorium implementa mecanismos sofisticados de persistencia y autoprotección. Un proceso watchdog monitorea continuamente si el payload principal sigue activo, reiniciándolo automáticamente si es interrumpido. El malware verifica su propia integridad usando el algoritmo de hash FNV-1a y, si detecta alteraciones o eliminación parcial, se replica bajo un nuevo nombre de archivo para restaurar su presencia. Además, según reporta Cyber Security News, Nexcorium lanza ataques brute-force por Telnet contra otros dispositivos en la red y más allá, utilizando una lista hardcoded de credenciales por defecto que incluye combinaciones como admin:admin, root:12345 y telnet:telnet, propagándose sin intervención adicional del operador.
Las organizaciones que operan DVRs TBK-4104 o DVR-4216 deben reemplazarlos inmediatamente con modelos soportados, dado que no existe parche para CVE-2024-3721. Igualmente, cualquier router TP-Link o Huawei con firmware vulnerable a CVE-2017-17215 debe ser retirado. Los administradores deben asegurar que ningún dispositivo IoT esté expuesto directamente a internet y segmentar adecuadamente las redes donde estos equipos operan.
FUENTE ORIGINAL
Fortinet FortiGuard Labs↗CURADO POR
Johan Ricardo