มัลแวร์ Mirai botnet เวอร์ชันใหม่ กำลังใช้ช่องโหว่ Command Injection ในอุปกรณ์บันทึกวิดีโอดิจิทัล (DVR) รุ่น TBK DVR-4104 และ DVR-4216 เพื่อเข้าควบคุมอุปกรณ์เหล่านี้
ช่องโหว่ดังกล่าวมีหมายเลข CVE-2024-3721 และเป็นช่องโหว่ประเภท Command Injection ที่ถูกเปิดเผยโดยนักวิจัยด้านความปลอดภัยที่ใช้ชื่อว่า "netsecfish" ในเดือนเมษายน 2024 ที่ผ่านมา
Proof-of-Concept (PoC) ที่นักวิจัยได้เผยแพร่ในครั้งนั้น อยู่ในรูปแบบของ POST request ที่ถูกสร้างขึ้นมาเป็นพิเศษเพื่อส่งไปยัง endpoint ที่มีช่องโหว่ ซึ่งทำให้สามารถเรียกใช้คำสั่งผ่าน shell ได้ด้วยการปรับแต่งพารามิเตอร์บางตัว ได้แก่ mdb และ mdc
ล่าสุด บริษัท Kaspersky รายงานว่า พบการโจมตีที่ใช้งานจริงจากช่องโหว่ CVE-2024-3721 ในระบบ Honeypot บน Linux โดย Mirai botnet เวอร์ชันใหม่ ที่ใช้โค้ด PoC ของ netsecfish
ผู้โจมตีใช้ช่องโหว่ดังกล่าวเพื่อส่งไฟล์มัลแวร์ ARM32 binary ลงในอุปกรณ์เป้าหมาย จากนั้นมัลแวร์จะทำการติดต่อกับเซิร์ฟเวอร์ command and control (C2) เพื่อนำอุปกรณ์ที่ถูกควบคุมเข้าไปรวมกับเครือข่าย botnet ทั้งหมด โดยอุปกรณ์ดังกล่าวจะถูกใช้เพื่อโจมตีแบบ DDoS, ใช้เป็นพร็อกซีสำหรับส่งต่อ traffic ที่เป็นอันตราย และพฤติกรรมอื่น ๆ ที่ไม่พึงประสงค์
ผลกระทบของการโจมตี และแนวทางการแก้ไข
แม้ว่าเมื่อปีที่แล้ว "netsecfish" จะรายงานว่ามีอุปกรณ์ DVR ที่เชื่อมต่อกับอินเทอร์เน็ต และมีช่องโหว่ CVE-2024-3721 อยู่ประมาณ 114,000 เครื่อง แต่ผลการสแกนล่าสุดของ Kaspersky พบว่าจำนวนอุปกรณ์ที่ยังคงมีความเสี่ยง และเชื่อมต่อกับอินเทอร์เน็ตอยู่มีประมาณ 50,000 เครื่อง ซึ่งยังคงเป็นจำนวนที่สูงอยู่ และน่ากังวลเป็นอย่างมาก
บริษัทความปลอดภัยทางไซเบอร์จากรัสเซีย (Kaspersky) ระบุว่า การแพร่กระจายของมัลแวร์ Mirai ในเวอร์ชันล่าสุดนี้ส่วนใหญ่ส่งผลกระทบต่อประเทศจีน, อินเดีย, อียิปต์, ยูเครน, รัสเซีย, ตุรกี และบราซิล อย่างไรก็ตาม ข้อมูลนี้อ้างอิงจากระบบติดตามของ Kaspersky เท่านั้น ซึ่งอาจไม่สะท้อนถึงภาพรวมทั้งหมดได้อย่างแม่นยำ เนื่องจากผลิตภัณฑ์รักษาความปลอดภัยสำหรับผู้บริโภคของ Kaspersky ถูกแบนในหลายประเทศ
ปัจจุบันยังไม่ทราบข้อมูลแน่ชัดว่าผู้ผลิต TBK Vision ได้ออกแพตซ์อัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ CVE-2024-3721 แล้วหรือยัง หรือช่องโหว่ดังกล่าวยังคงไม่ได้รับการแก้ไข ซึ่งทาง BleepingComputer ได้ติดต่อสอบถามไปยัง TBK แล้ว แต่ยังไม่ได้รับคำตอบจากเรื่องนี้
นอกจากนี้ ยังควรทราบว่า อุปกรณ์ DVR-4104 และ DVR-4216 ได้ถูกนำไปรีแบรนด์ หรือจำหน่ายภายใต้ชื่อยี่ห้ออื่นเป็นจำนวนมาก เช่น Novo, CeNova, QSee, Pulnix, XVR 5 in 1, Securus, Night OWL, DVR Login, HVR Login, และ MDVR ซึ่งทำให้ การค้นหา และการติดตั้งแพตช์อัปเดตความปลอดภัยสำหรับอุปกรณ์ที่ได้รับผลกระทบนั้น จึงกลายเป็นเรื่องที่ซับซ้อนมากยิ่งขึ้น
นักวิจัยที่เปิดเผยช่องโหว่ของ TBK Vision ยังได้ค้นพบช่องโหว่อื่น ๆ ที่เป็นต้นตอทำให้เกิดการโจมตีต่ออุปกรณ์ที่หมดอายุการสนับสนุนเมื่อปีที่ผ่านมา
โดยเฉพาะ netsecfish ได้เปิดเผยช่องโหว่ backdoor account และช่องโหว่ command injection ที่ส่งผลกระทบต่ออุปกรณ์ D-Link รุ่นที่หมดอายุการสนับสนุน (EoL) ไปแล้วจำนวนหลายหมื่นเครื่องในปี 2024
มีการตรวจพบการโจมตีที่เกิดขึ้นจริงของช่องโหว่ทั้งสองเพียงไม่กี่วันหลังจากที่มีการเผยแพร่ PoC ซึ่งแสดงให้เห็นว่าผู้พัฒนามัลแวร์สามารถนำช่องโหว่ที่ถูกเปิดเผยต่อสาธารณะมาใช้เป็นเครื่องมือในการโจมตีของตนเองได้อย่างรวดเร็วจนน่าตกใจ
ที่มา : bleepingcomputer
You must be logged in to post a comment.