Έχει εντοπιστεί σημαντική άνοδο στις προσπάθειες εκμετάλλευσης που στοχεύουν στο TVT NVMS9000 DVRs, που κορυφώνονται στις 3 Απριλίου 2025, με πάνω από 2.500 μοναδικές IPS σάρωση για ευάλωτες συσκευές.
Οι επιθέσεις προσπαθούν να εκμεταλλευτούν πρώτα μια ευπάθεια γνωστοποίησης πληροφοριών αποκαλύπτεται από συμβουλευτική SSD Τον Μάιο του 2024, η οποία δημοσίευσε τις πλήρεις λεπτομέρειες εκμετάλλευσης σχετικά με την ανάκτηση διαπιστευτηρίων διαχειριστή στο ClearText χρησιμοποιώντας ένα ενιαίο ωφέλιμο φορτίο TCP.
Η εκμετάλλευση έχει ως αποτέλεσμα μια παράκαμψη ελέγχου ταυτότητας, επιτρέποντας στους εισβολείς να εκτελούν διοικητικές εντολές στη συσκευή χωρίς περιορισμό.
Σύμφωνα με την πλατφόρμα παρακολούθησης απειλής Greynoise, το οποίο εντοπίστηκε η δραστηριότητα εκμετάλλευσηςείναι πιθανό συνδεδεμένο με ένα κακόβουλο λογισμικό που βασίζεται σε mirai που επιδιώκει να ενσωματώσει τις συσκευές στο botnet του.
Συνήθως, οι μολυσμένες συσκευές χρησιμοποιούνται στη συνέχεια για την πληρεξούσιο κακόβουλη κίνηση, την κρυπτογράφηση ή την εκκίνηση των επιθέσεων κατανεμημένης άρνησης υπηρεσίας (DDOS).
Τον περασμένο μήνα, ο Greynoise καταγράφηκε 6.600 ξεχωριστές IP που σχετίζονται με αυτή τη δραστηριότητα, με όλα αυτά να επιβεβαιώνονται ότι είναι κακόβουλα και μη-ικανοποιημένα.
Οι περισσότερες από τις επιθέσεις προέρχονται από την Ταϊβάν, την Ιαπωνία και τη Νότια Κορέα, ενώ η πλειοψηφία των στοχευμένων συσκευών εδρεύει στις ΗΠΑ, το Ηνωμένο Βασίλειο και τη Γερμανία.
.jpg)
Πηγή: Greynoise
Το TVT NVMS9000 DVR είναι μια ψηφιακή εγγραφή βίντεο από την TVT Digital Technology Co., Ltd.
Αυτά τα DVR χρησιμοποιούνται κυρίως σε συστήματα ασφάλειας και παρακολούθησης για την καταγραφή, αποθήκευση και διαχείριση βίντεο από κάμερες ασφαλείας.
Καθώς τα DVRs είναι συνήθως συνδεδεμένα στο διαδίκτυο, έχουν ιστορικά στοχευμένα σε διάφορα botnets, με κάποιες ακόμη και να αξιοποιήσουν τα πεντάερα ελαττώματα.
Μερικά πρόσφατα παραδείγματα botnets που στοχεύουν εκτεθειμένα DVR περιλαμβάνουν hiatusrat, mirai και freakout.
Σύμφωνα με τη συμβουλή της SSD, οι πελάτες θα πρέπει να αναβαθμίσουν στην έκδοση firmware 1.3.4 ή αργότερα για να διορθώσουν το ελάττωμα.
Εάν η αναβάθμιση είναι αδύνατη, συνιστάται να περιορίζεται η δημόσια πρόσβαση στο Διαδίκτυο στις θύρες DVR και να αποκλειστούν οι εισερχόμενες αιτήσεις από τις διευθύνσεις IP που αναφέρονται από τον Greynoise.
Τα σημάδια μολύνσεων Mirai σε DVR περιλαμβάνουν εξερχόμενες αιχμές κυκλοφορίας, υποτονική απόδοση, συχνές συντριβές ή επανεκκινήσεις, υψηλή χρήση CPU/μνήμης ακόμη και όταν ήταν αδρανή και τροποποιημένες διαμορφώσεις.
Εάν κάποιο από αυτά έχει εντοπιστεί, αποσυνδέστε το DVR, εκτελέστε μια εργοστασιακή επαναφορά, ενημερώστε το τελευταίο υλικολογισμικό και στη συνέχεια απομονώστε το από το κύριο δίκτυο.
Η τελευταία έκδοση υλικολογισμικού για το NVMS9000 ήταν το 2018έτσι δεν είναι σαφές εάν οι συσκευές εξακολουθούν να υποστηρίζονται.
Με βάση μια ανάλυση 14 μέτρων κακόβουλων ενεργειών, ανακαλύψτε τις 10 κορυφαίες τεχνικές ATT & CK πίσω από το 93% των επιθέσεων και τον τρόπο υπεράσπισης εναντίον τους.
VIA: bleepingcomputer.com
