Attacco ai DVR TBK: il Mirai Varianti Nexcorium si diffonde attraverso la vulnerabilità CVE-2024-3721 Recentemente, esperti di sicurezza informatica di Fortinet FortiGuard Labs e Palo Alto Networks Unit 42 hanno segnalato l'emergere di una nuova variante del noto botnet Mirai,…
Attacco ai DVR TBK: il Mirai Varianti Nexcorium si diffonde attraverso la vulnerabilità CVE-2024-3721
Recentemente, esperti di sicurezza informatica di Fortinet FortiGuard Labs e Palo Alto Networks Unit 42 hanno segnalato l’emergere di una nuova variante del noto botnet Mirai, chiamata Nexcorium. Questa minaccia sfrutta una vulnerabilità critica nei dispositivi TBK DVR e nei router Wi-Fi TP-Link obsoleti, rappresentando un serio rischio per la sicurezza degli utenti italiani e delle aziende che si affidano a questi apparecchi.
La vulnerabilità in gioco: CVE-2024-3721
La vulnerabilità CVE-2024-3721, con un punteggio CVSS di 6.3, permette l’esecuzione di comandi non autorizzati sui DVR TBK-4104 e DVR-4216. I ricercatori hanno scoperto che gli attaccanti possono utilizzare questi bug per iniettare codice malevolo che permette il lancio di attacchi DDoS (Distributed Denial of Service). Questi dispositivi, spesso trascurati e con scarso supporto per aggiornamenti di sicurezza, diventano così bersagli facili per attacchi su larga scala. Vincent Li, un esperto di sicurezza di Fortinet, ha avvertito che i dispositivi IoT sono sempre più attraenti per gli aggressori proprio a causa della loro vulnerabilità e delle impostazioni di sicurezza spesso deboli.
Rischi per gli utenti e aziende italiane
Il rischio che derivano da exploit come quello sopradescritto non è limitato solo agli utenti privati, ma si estende anche alle aziende in Italia che utilizzano questi dispositivi nei loro sistemi di sorveglianza o come parte della loro infrastruttura di rete. La compromissione di un DVR o di un router può consentire agli attaccanti l’accesso a informazioni sensibili, compromettendo la privacy e la sicurezza aziendale. Inoltre, i target italiani si trovano a fronteggiare anche l’adattabilità delle minacce, come dimostrato dall’uso da parte di Nexcorium di tecniche note di offerta a più architetture.
La tecnica alle spalle di Nexcorium
Il malware Nexcorium presenta caratteristiche simili alle precedenti varianti di Mirai, includendo una procedura di inizializzazione della configurazione codificata e un modulo per l’attacco DDoS. Utilizza infatti l’exploit CVE-2017-17215 che colpisce i dispositivi Huawei, un ulteriore attacco in una rete già compromessa. All’interno del suo codice, possiamo trovare username e password codificati per tentativi di attacco tramite brute-force, rendendo più semplice per gli attaccanti ottenere l’accesso ai sistemi target. Una volta penetrato un dispositivo, Nexcorium stabilisce una persistenza sul sistema, assicurandosi che il malware possa sempre ricevere comandi per lanciare attacchi DDoS.
Conclusione e raccomandazioni
Con l’aumento degli attacchi informatici, è fondamentale che sia gli utenti privati sia le aziende italiane adottino misure preventive. Si consiglia di sostituire dispositivi obsoleti e di garantire che siano impostate password sicure e uniche. Anche se alcuni degli attacchi identificati sono stati fallimentari, la potenziale vulnerabilità rimane reale, e le aziende non dovrebbero sottovalutare la necessità di una robusta cybersecurity. In un panorama sempre più complesso, i dispositivi IoT devono essere protetti adeguatamente per evitare che possano rappresentare un punto d’ingresso per potenti botnet come quella di Nexcorium.
