Wprowadzenie do problemu / definicja
Urządzenia IoT od lat pozostają atrakcyjnym celem dla operatorów botnetów ze względu na słabe zarządzanie aktualizacjami, obecność domyślnych poświadczeń oraz długi cykl życia sprzętu działającego poza centralnym nadzorem. Najnowsza kampania pokazuje, iż podatność CVE-2024-3721 w rejestratorach TBK DVR może zostać wykorzystana do instalacji wariantu Mirai o nazwie Nexcorium i przejęcia urządzeń brzegowych.
Celem atakujących jest włączenie zainfekowanych systemów do infrastruktury wykorzystywanej do rozproszonych ataków odmowy usługi. To kolejny przykład, jak relatywnie niewielka luka w urządzeniu sieciowym może przełożyć się na realne ryzyko operacyjne i biznesowe.
W skrócie
- Atakujący aktywnie wykorzystują lukę CVE-2024-3721 typu command injection w wybranych rejestratorach TBK DVR.
- Po udanym ataku urządzenie pobiera odpowiedni wariant malware dla swojej architektury.
- Nexcorium dziedziczy najważniejsze cechy rodziny Mirai, w tym moduły DDoS, brute force i mechanizmy trwałości.
- Próbki zawierają także kod do wykorzystania starszej luki CVE-2017-17215 oraz zestaw wbudowanych poświadczeń.
- Kampania wpisuje się w rosnący trend wykorzystywania przestarzałych i niewspieranych urządzeń IoT.
Kontekst / historia
Mirai pozostaje jedną z najbardziej rozpoznawalnych rodzin malware atakujących urządzenia IoT. Po upublicznieniu kodu źródłowego powstały liczne warianty rozwijane przez różne grupy cyberprzestępcze, które stale wzbogacają je o nowe exploity, funkcje propagacji i techniki utrzymywania dostępu.
W przypadku CVE-2024-3721 nie jest to pierwsze zaobserwowane użycie tej luki w realnych kampaniach. Fakt, iż podatność została gwałtownie zaadaptowana do operacji botnetowych, pokazuje jej praktyczną wartość w ekosystemie cyberprzestępczym. Szczególnie narażone pozostają urządzenia działające latami bez aktualizacji, wystawione bezpośrednio do internetu i przez cały czas korzystające z fabrycznych danych logowania.
To istotny sygnał dla organizacji wykorzystujących monitoring, systemy rejestracji obrazu i infrastrukturę sieciową klasy SOHO. choćby podatności oceniane jako umiarkowane mogą w praktyce stanowić wysokie ryzyko, jeżeli umożliwiają zdalne wykonanie poleceń i automatyczne wdrożenie malware.
Analiza techniczna
Łańcuch ataku rozpoczyna się od wykorzystania CVE-2024-3721, czyli podatności command injection w wybranych modelach TBK DVR. Po uzyskaniu możliwości wykonywania poleceń systemowych atakujący dostarczają skrypt typu downloader, który rozpoznaje architekturę urządzenia i pobiera odpowiedni ładunek binarny dla systemu Linux.
Taki sposób działania zwiększa skuteczność kampanii w środowiskach IoT, gdzie występuje duża różnorodność sprzętowa. Nexcorium jest przygotowany do działania na wielu architekturach, dzięki czemu operatorzy mogą objąć jedną kampanią szeroki zestaw urządzeń brzegowych.
Analizowane próbki wskazują na klasyczne cechy rodziny Mirai. Malware zawiera moduły odpowiedzialne za inicjalizację konfiguracji, ukrywanie części danych, nadzorowanie pracy procesu oraz generowanie ruchu DDoS. Obsługa wielu metod przeciążania opartych na UDP, TCP i SMTP sugeruje elastyczność w doborze wektorów ataku.
Istotnym elementem jest także zdolność do dalszej propagacji. Nexcorium zawiera kod wykorzystujący CVE-2017-17215 przeciwko urządzeniom Huawei HG532, a także listę zahardkodowanych nazw użytkowników i haseł używanych w atakach brute force przez Telnet. Po skutecznym logowaniu malware próbuje uzyskać powłokę systemową i utrwalić obecność z użyciem crontab oraz usług systemd.
Po ustanowieniu trwałości złośliwe oprogramowanie kontaktuje się z serwerem sterującym i oczekuje na dalsze polecenia. Dodatkowo usuwa pierwotnie pobrany plik binarny, co utrudnia analizę powłamaniową i ogranicza liczbę artefaktów pozostawionych na urządzeniu.
Kampania pokazuje kilka trwałych trendów w zagrożeniach IoT:
- łączenie exploitacji konkretnych CVE z klasycznym brute force,
- stosowanie wieloarchitekturnych loaderów zwiększających skalę infekcji,
- wdrażanie mechanizmów trwałości w celu długoterminowego utrzymania infrastruktury botnetowej,
- ponowne wykorzystywanie starszych luk w niewspieranych urządzeniach.
Konsekwencje / ryzyko
Najbardziej bezpośrednim skutkiem infekcji jest włączenie urządzenia do botnetu DDoS. Dla właściciela sprzętu oznacza to ryzyko degradacji wydajności sieci, zwiększonego zużycia łącza, niestabilności działania urządzenia oraz udziału w przestępczych operacjach wymierzonych w inne podmioty.
W przypadku rejestratorów i systemów monitoringu dochodzi także ryzyko operacyjne. Kompromitacja może osłabić ciągłość nadzoru, wpłynąć na integralność systemów bezpieczeństwa fizycznego i ograniczyć zaufanie do infrastruktury ochronnej. Zainfekowane urządzenie może również stać się punktem wyjścia do dalszego rekonesansu lub ruchu bocznego w sieci lokalnej.
Ryzyko rośnie, gdy urządzenia IoT współdzielą segment z innymi słabo chronionymi systemami. Wbudowane funkcje skanowania, dodatkowe exploity oraz próby brute force przez Telnet zwiększają prawdopodobieństwo rozprzestrzenienia się zagrożenia. Szczególnie niebezpieczne są urządzenia końca życia, które nie otrzymują już poprawek bezpieczeństwa.
Rekomendacje
Organizacje oraz użytkownicy indywidualni powinni w pierwszej kolejności zinwentaryzować wszystkie urządzenia IoT wystawione do internetu, zwłaszcza rejestratory DVR, kamery, routery SOHO i starsze elementy infrastruktury monitoringu. najważniejsze jest ustalenie modeli, wersji firmware oraz statusu wsparcia producenta.
Jeżeli wykorzystywane są podatne urządzenia TBK, należy niezwłocznie sprawdzić dostępność aktualizacji, ograniczyć ekspozycję interfejsów administracyjnych i odseparować sprzęt od publicznego internetu. Dostęp administracyjny powinien odbywać się wyłącznie przez bezpieczne kanały, najlepiej z użyciem VPN i list kontroli dostępu.
Niezbędna jest również zmiana wszystkich domyślnych i słabych haseł. Warto wyłączyć Telnet wszędzie tam, gdzie nie jest absolutnie wymagany, oraz zablokować zbędne usługi nasłuchujące. Dodatkowo rekomendowane jest wdrożenie segmentacji sieci i polityki ograniczającej komunikację wychodzącą z urządzeń brzegowych.
Z perspektywy detekcji warto monitorować:
- nietypowe połączenia wychodzące z urządzeń IoT do nieznanych hostów,
- nagły wzrost ruchu UDP lub TCP,
- próby połączeń Telnet do innych urządzeń w sieci,
- modyfikacje crontab i usług systemd,
- nieautoryzowane procesy na hostach Linux embedded,
- nietypowe restarty usług oraz znikające pliki binarne po uruchomieniu.
W przypadku sprzętu wycofanego ze wsparcia najbezpieczniejszym rozwiązaniem pozostaje wymiana na wspierane modele. Pełny inwentarz aktywów, restrykcyjne reguły firewall i segmentacja powinny być standardem dla całego obszaru IoT.
Podsumowanie
Kampania z użyciem Nexcorium potwierdza, iż choćby podatność o umiarkowanej ocenie może gwałtownie zostać przekształcona w skuteczne narzędzie do budowy botnetu DDoS. Połączenie command injection, wieloarchitekturnego loadera, brute force, dodatkowych exploitów i mechanizmów trwałości tworzy typowy obraz nowoczesnego malware IoT.
Dla zespołów bezpieczeństwa najważniejszy wniosek jest prosty: urządzenia brzegowe nie mogą być traktowane jako infrastruktura drugiej kategorii. Bez aktualizacji, segmentacji i kontroli poświadczeń pozostają jednym z najłatwiejszych punktów wejścia do środowiska oraz zasobem dla operacji DDoS na dużą skalę.
Źródła
- The Hacker News — Mirai Variant Nexcorium Exploits CVE-2024-3721 to Hijack TBK DVRs for DDoS Botnet — https://thehackernews.com/2026/04/mirai-variant-nexcorium-exploits-cve.html
- NVD — CVE-2024-3721 — https://nvd.nist.gov/vuln/detail/CVE-2024-3721
- Fortinet FortiGuard Labs — analiza kampanii Nexcorium — https://www.fortinet.com/blog/threat-research
- Palo Alto Networks Unit 42 — analiza prób wykorzystania routerów TP-Link — https://unit42.paloaltonetworks.com/
- CISA Known Exploited Vulnerabilities Catalog — https://www.cisa.gov/known-exploited-vulnerabilities-catalog