記事本文(要約)
新しいMiraiマルウェアの亜種が、TBK DVR-4104およびDVR-4216デジタルビデオ録画装置のコマンドインジェクション脆弱性(CVE-2024-3721)を悪用してデバイスを乗っ取っています。この脆弱性は、研究者「netsecfish」によって2024年4月に明らかにされました。攻撃者は、ARM32マルウェアバイナリをデバイスに落とし、ボットネットに参加させ、DDoS攻撃や悪意のあるトラフィックのプロキシとして使用しています。Kasperskyのリサーチによれば、約5万台のデバイスが脆弱で、中国、インド、エジプトなどで多くの感染が見られますが、Kaspersky製品が禁止されている国もあるため、全体のターゲットは不明確です。現在、TBK Visionがこの脆弱性に対するセキュリティ更新を提供しているかは不明です。DVR-4104とDVR-4216は多くのブランドで再販売されており、影響を受けたデバイスへのパッチ提供は複雑です。さらに、研究者はD-Linkデバイスのバックドアアカウント問題やコマンドインジェクション脆弱性も発見しています。
※この要約はChatGPTを使用して生成されました。
公開日: Sun, 08 Jun 2025 10:17:27 -0400
Original URL: https://www.bleepingcomputer.com/news/security/new-mirai-botnet-infect-tbk-dvr-devices-via-command-injection-flaw/
詳細な技術情報
この文章では、Miraiマルウェアの新しいバリアントが、TBK DVR-4104とDVR-4216のデジタルビデオ録画デバイスにおけるコマンドインジェクションの脆弱性を悪用してデバイスを乗っ取るケースについて説明されています。以下に、重要なセキュリティ関連情報を詳述します。
CVE番号
- CVE-2024-3721:この脆弱性は「netsecfish」と呼ばれるセキュリティ研究者によって2024年4月に公表されました。
脆弱性の仕組み
- コマンドインジェクション:この脆弱性は、特定のパラメータ(
mdbおよびmdc)を操作することで、脆弱なエンドポイントへの特別に作成されたPOSTリクエストを介して、シェルコマンドの実行を可能にします。これにより、攻撃者はデバイス上で任意のコードを実行することができます。
攻撃手法
- 攻撃者は、公開されているProof-of-Concept(PoC)を利用して脆弱性を悪用し、ARM32マルウェアバイナリをドロップします。その後、このマルウェアはコマンドアンドコントロール(C2)サーバーと通信を確立し、デバイスをボットネットとして動員します。
潜在的な影響
- 乗っ取られたデバイスは、分散型サービス拒否(DDoS)攻撃や悪意のあるトラフィックのプロキシなどの活動に使用される可能性があります。
- 特に中国、インド、エジプト、ウクライナ、ロシア、トルコ、ブラジルなどで感染が確認されており、感染が広がればさらに多くの地域で影響が出る可能性があります。
推奨される対策
- ファームウェアの更新:
- ベンダーであるTBK VisionがCVE-2024-3721の脆弱性を修正するためのアップデートをリリースしている場合、それをすぐに適用してください。この点に関しては、TBK Visionの公式メッセージを待つ必要があります。
- デバイス構成の強化:
- 既知の脆弱性を持つデバイスに対しては、ネットワークからの隔離やアクセス制限を実施しましょう。
- 不要なサービスやポートを閉じ、管理インターフェースへのアクセスを制限するべきです。
- セキュリティモニタリングの実施:
- ネットワークトラフィックを監視し、不審な活動を即座に検知するためのソリューションを使用します。
- 再ブランドされたデバイスの確認:
- DVR-4104とDVR-4216がNovo、CeNova、QSee、Pulnixなどに再ブランドされている可能性があるため、それらのデバイスも確認し、必要に応じて対策を講じてください。
- 公開されたPoCへの注意:
- 公開されたPoCを悪用する攻撃が迅速に行われることがあるため、新たな脆弱性情報には常に注意を払いましょう。
