La explotación de esta vulnerabilidad provoca un bypass de autenticación, lo que da a los atacantes la capacidad de ejecutar comandos administrativos sin restricciones en el dispositivo afectado. La plataforma de monitoreo de amenazas Greynoise ha vinculado esta actividad de explotación a un malware basado en Mirai, diseñado para incorporar dispositivos comprometidos en una botnet. Los dispositivos infectados suelen ser utilizados para fines maliciosos, como el tráfico de datos no deseados, la criptominería y la ejecución de ataques de denegación de servicio distribuido (DDoS).
En el transcurso del último mes, Greynoise ha identificado alrededor de 6,600 direcciones IP distintas involucradas en estas actividades maliciosas, todas ellas confirmadas como fuente de amenazas. La mayoría de estos ataques provienen de países como Taiwán, Japón y Corea del Sur, mientras que los principales DVR afectados están localizados en los Estados Unidos, el Reino Unido y Alemania.
El TVT NVMS9000, producto de TVT Digital Technology Co., Ltd., es un DVR comúnmente empleado en sistemas de seguridad y vigilancia para la grabación, almacenamiento y gestión de imágenes de cámaras de seguridad. Debido a su conexión constante a Internet, estos dispositivos han sido objetivos frecuentes de diversas botnets, con algunos ataques aprovechando vulnerabilidades conocidas desde hace hasta cinco años. Botnets recientes que han dirigido su atención hacia DVR incluyen nombres notorios como Parlamento, Mirai y Monstruosidad.
Para mitigar los riesgos asociados con esta vulnerabilidad, el aviso de SSD recomienda a los usuarios actualizar su firmware a la versión 1.3.4 o posterior. En caso de que no sea posible realizar la actualización, se sugiere restringir el acceso público a Internet de los puertos del DVR y bloquear las solicitudes entrantes de las direcciones IP listadas por Greynoise.
Los signos de infección por Mirai en los DVR incluyen un aumento en el tráfico saliente, un rendimiento disminuido, reinicios frecuentes, un uso elevado de CPU/memoria incluso cuando el dispositivo está inactivo y configuraciones modificadas sin autorización. Ante cualquiera de estos síntomas, se aconseja desconectar inmediatamente el DVR, realizar un reinicio de fábrica, actualizar a la última versión de firmware y aislar el dispositivo de la red principal.
Cabe mencionar que la última actualización del firmware para el NVMS9000 se realizó en 2018, lo que plantea interrogantes sobre la continuidad del soporte para estos dispositivos. La falta de actualizaciones puede dejar a muchos usuarios expuestos, haciendo imperativa la atención a estas vulnerabilidades por parte de las empresas y usuarios individuales que utilicen DVR en sus sistemas de seguridad.
A medida que las amenazas a la ciberseguridad evolucionan, es esencial seguir monitoreando y actualizando las medidas de seguridad de los dispositivos conectados a Internet, especialmente aquellos que manejan información crítica y sensible.
Enlace de la fuente, haz clic para tener más información