cảnh báo CVE liên quan đến chiến dịch botnet mới cho thấy một lỗ hổng CVE đang bị khai thác chủ động trên các thiết bị TBK DVR để triển khai mã độc dựa trên Mirai có tên Nexcorium. Mã độc này được thiết kế để tham gia vào các cuộc tấn công DDoS quy mô lớn và tận dụng các thiết bị IoT kết nối Internet với cấu hình mặc định yếu.
Lỗ hổng CVE-2024-3721 và phạm vi ảnh hưởng
Trọng tâm của chiến dịch là CVE-2024-3721, với CVSS 6.3, ảnh hưởng đến các model TBK DVR-4104 và DVR-4216. Các thiết bị này thường chạy firmware cũ và có mật khẩu mặc định yếu, khiến chúng trở thành mục tiêu dễ bị khai thác.
Thông tin tham chiếu có thể xem tại NVD. Đây là một lỗ hổng CVE bị lạm dụng để thực thi lệnh từ xa mà không cần xác thực.
Cách khai thác
Kẻ tấn công gửi một HTTP request được chế tạo đặc biệt đến endpoint:
/device.rsp?opt=sys&cmd=___S_O_S_T_R_E_A_MAX___Payload này chèn lệnh hệ điều hành trực tiếp vào thiết bị mà không yêu cầu đăng nhập, dẫn đến remote code execution trên DVR bị ảnh hưởng. Khi đó, thiết bị giám sát không còn chỉ thực hiện chức năng ghi hình mà bị biến thành một nút trong mạng botnet.
Chuỗi lây nhiễm của Nexcorium
Nhóm nghiên cứu của Fortinet’s FortiGuard Labs đã phân tích chiến dịch này và theo dõi toàn bộ chuỗi lây nhiễm từ khai thác ban đầu đến triển khai tải độc và thiết lập cơ chế bám trụ. Báo cáo gốc của hãng có thể xem tại: Fortinet Threat Research.
Sau khi khai thác CVE-2024-3721, thiết bị tải về một downloader script. Script này xác định kiến trúc CPU của hệ thống Linux bên dưới, sau đó tải binary phù hợp với phần cứng mục tiêu.
Nexcorium hỗ trợ nhiều kiến trúc CPU, cho phép mở rộng sang nhiều loại thiết bị IoT khác mà không cần chỉnh sửa lại mã độc. Cách tiếp cận này giúp chiến dịch có thể vận hành trên hạ tầng dị biệt, từ DVR đến router đời cũ.
Cơ chế bám trụ và điều khiển
Sau khi triển khai binary phù hợp, mã độc dùng nhiều phương thức persistence để sống sót qua reboot và các nỗ lực xóa bỏ thủ công. Một tiến trình watchdog liên tục giám sát tiến trình chính và khởi động lại nếu bị dừng.
Nexcorium cũng thiết lập kênh C2 communication để nhận lệnh DDoS, theo dõi trạng thái bot và nhận chỉ thị bổ sung từ operator. Đây là đặc trưng thường thấy trong các mối đe dọa mạng theo mô hình botnet.
Fortinet ghi nhận mã độc hiển thị chuỗi thông báo “nexuscorp has taken control” khi thực thi, được dùng như một dấu hiệu xác nhận việc chiếm quyền điều khiển thành công.
Kiểm tra tính toàn vẹn và tự phục hồi
Điểm đáng chú ý là Nexcorium dùng thuật toán băm FNV-1a để kiểm tra tính toàn vẹn của binary. Nếu tệp trên đĩa bị sửa đổi, xóa một phần hoặc không còn đọc được do can thiệp bởi antivirus, mã độc sẽ tự sao chép sang tên tệp mới để phục hồi sự hiện diện.
Cơ chế này làm tăng độ bền của mối đe dọa, khiến việc phát hiện và loại bỏ trở nên khó hơn nếu không có kiểm soát tiến trình và file system phù hợp.
Không chỉ TBK DVR: mở rộng sang router TP-Link
Chiến dịch không dừng ở TBK DVR. Nghiên cứu còn ghi nhận Nexcorium nhắm tới các router TP-Link đời cuối, khai thác CVE-2017-17215 để mở rộng số lượng thiết bị bị lây nhiễm.
Đây là chiến lược kết hợp nhiều nền tảng phần cứng khác nhau nhằm xây dựng một botnet hỗn hợp. Với các thiết bị ít được vá lỗi, botnet có thể tích lũy nhanh số lượng node phân tán theo địa lý.
Tham khảo thêm về chiến lược lây lan và cơ chế botnet có thể xem qua các phân tích bảo mật liên quan trên GitHub và blog hãng bảo mật, ví dụ GitHub.
Ảnh hưởng hệ thống và nguy cơ bảo mật
Mỗi DVR hoặc router bị chiếm quyền điều khiển trở thành một bộ khuếch đại lưu lượng trong mạng botnet. Khi nhận lệnh, các node này có thể tạo ra lưu lượng lớn nhằm nhắm vào dịch vụ trực tuyến, doanh nghiệp hoặc hạ tầng quan trọng.
Do các thiết bị này hoạt động liên tục và dùng địa chỉ IP thật, lưu lượng sinh ra thường trông hợp lệ với một số hệ thống lọc. Điều này khiến các chiến dịch DDoS dựa trên lỗ hổng CVE như Nexcorium khó bị chặn hiệu quả hơn.
Tác động kỹ thuật không chỉ nằm ở một thiết bị đơn lẻ mà còn ở khả năng duy trì một cuộc tấn công mạng phân tán, bền bỉ và có khả năng mở rộng. Đây là dạng rủi ro bảo mật thường gặp khi IoT không được cập nhật bản vá và cấu hình mặc định vẫn được giữ nguyên.
Hoạt động tự lan truyền qua Telnet
Ngoài C2 và DDoS, Nexcorium còn thực hiện brute-force qua Telnet để lây sang thiết bị khác trong cùng mạng và các hệ thống bên ngoài. Mã độc sử dụng danh sách hardcoded các cặp thông tin xác thực mặc định phổ biến.
Cơ chế này giúp nó tự nhân rộng mà không cần thêm tương tác từ kẻ tấn công sau khi đã xâm nhập thành công thiết bị đầu tiên. Nếu một hệ thống bị tấn công nhưng vẫn dùng mật khẩu nhà sản xuất, nguy cơ lan rộng sẽ tăng đáng kể.
Biện pháp giảm thiểu
Các tổ chức và cá nhân đang dùng TBK DVR-4104 hoặc DVR-4216 nên thay thế ngay bằng model còn được hỗ trợ, vì hiện chưa có bản vá cho CVE-2024-3721 và các thiết bị này đã ở trạng thái end-of-life về mặt an toàn thông tin.
Tương tự, các router TP-Link còn chạy firmware lỗi thời và dễ bị ảnh hưởng bởi CVE-2017-17215 cần được loại bỏ hoặc thay thế. Đây là bước trực tiếp để giảm bề mặt tấn công từ lỗ hổng CVE.
Đối với các thiết bị IoT có kết nối Internet, cần sử dụng mật khẩu mạnh, duy nhất thay vì giữ mặc định của nhà sản xuất. Đây là điều kiện quan trọng để giảm rủi ro từ module brute-force của Nexcorium.
Phân đoạn mạng cũng cần được áp dụng, tách DVR và thiết bị giám sát ra khỏi hệ thống nội bộ quan trọng. Cách này giúp giới hạn thiệt hại nếu một thiết bị bị xâm nhập mạng.
Nếu không bắt buộc, nên vô hiệu hóa truy cập từ xa tới giao diện quản trị DVR. Việc đóng bề mặt tấn công này là một trong các biện pháp hiệu quả nhất để ngăn chiến dịch khai thác lỗ hổng CVE tiếp tục mở rộng.
IOC liên quan
- Malware: Nexcorium
- CVE: CVE-2024-3721
- CVE: CVE-2017-17215
- Thiết bị mục tiêu: TBK DVR-4104, TBK DVR-4216
- Hành vi: HTTP request độc hại tới
/device.rsp?opt=sys&cmd=___S_O_S_T_R_E_A_MAX___ - Thông báo thực thi:
nexuscorp has taken control - Kỹ thuật lây lan: Telnet brute-force bằng thông tin xác thực mặc định
