警惕！新型 Mirai 僵尸网络来袭，利用未公开漏洞攻击 NVR 和路由器！

原创 Hankzheng 技术修道场 2024-12-30 00:01

【针对 DigiEver NVR 和 TP-Link 路由器，利用未公开漏洞和旧固件，请速自查！】

安全圈近日发现了一个新型的、基于 Mirai 的僵尸网络
正在疯狂传播，它利用了一个尚未公开编号、且在 DigiEver DS-2105 Pro 网络录像机（NVR）中似乎仍未修复的远程代码执行漏洞
！

据悉，该攻击活动始于 10 月份，目标是多个品牌的网络录像机和固件版本过时的 TP-Link 路由器
。

此次攻击活动中利用的一个漏洞曾在去年的 DefCamp 安全会议上被 TXOne 研究员 Ta-Lun Yen 披露，当时该研究员指出该问题影响多个 DVR 设备。安全公司 Akamai 的研究人员表示，他们观察到该僵尸网络在 11 月中旬开始利用此漏洞，但有证据表明该活动至少从 9 月份就已经开始活跃。

除了 DigiEver 的漏洞外，这个新型 Mirai 恶意软件变种还利用了 TP-Link 设备上的 CVE-2023-1389
 和 Teltonika RUT9XX 路由器上的 CVE-2018-17532
。

针对 DigiEver NVR 的攻击细节

攻击者利用的漏洞是一个远程代码执行（RCE）漏洞
，目标是 /cgi-bin/cgi_main.cgi
 URI，该 URI 未能正确验证用户输入。

这使得未经身份验证的远程攻击者可以通过 HTTP POST 请求中的特定参数（例如 ntp 字段）注入 curl
 和 chmod
 等命令。

Akamai 表示，他们观察到的这个基于 Mirai 的僵尸网络的攻击手法与 Ta-Lun Yen 在演讲中描述的类似。

攻击者通过命令注入从外部服务器获取恶意软件二进制文件，并将设备纳入其僵尸网络。并通过添加 cron 作业来实现持久性。

一旦设备被攻陷，它就会被用于发动分布式拒绝服务（DDoS）攻击
，或者利用漏洞利用集和凭据列表传播到其他设备。

新型 Mirai 变种的特点

Akamai 指出，这个新的 Mirai 变种因其使用了 XOR 和 ChaCha20 加密
以及针对广泛的系统架构（包括 x86、ARM 和 MIPS）而备受关注。

Akamai 评论道：“虽然使用复杂的解密方法并不新鲜，但这表明基于 Mirai 的僵尸网络运营者的策略、技术和程序正在不断演变。”

研究人员表示：“这一点尤其值得注意，因为许多基于 Mirai 的僵尸网络仍然依赖于原始 Mirai 恶意软件源代码发布中包含的回收代码的原始字符串混淆逻辑。”

研究人员还指出，该僵尸网络还利用了 Teltonika RUT9XX 路由器中的 CVE-2018-17532
 以及 TP-Link 设备中的 CVE-2023-1389
。

如何应对？
– DigiEver DS-2105 Pro NVR 用户：
  目前该漏洞似乎尚未得到官方修复，请密切关注 DigiEver 的官方安全公告，并在补丁发布后第一时间进行更新。同时，建议限制对 NVR 的外部访问，并加强访问控制。

• TP-Link 和 Teltonika 路由器用户：
    请确保你的设备固件已更新至最新版本，以修复 CVE-2023-1389 和 CVE-2018-17532 漏洞。

• 所有用户：
    定期更新设备固件，使用强密码并启用多因素身份验证，限制不必要的网络访问。

Akamai 的报告末尾提供了与该攻击活动相关的入侵指标（IoC）以及用于检测和阻止该威胁的 Yara 规则
。建议安全管理员参考这些信息，加强安全防护。

网络安全形势日益严峻，各类僵尸网络层出不穷。
 我们必须时刻保持警惕，及时更新设备，加强安全防护，才能有效抵御网络威胁！