TBK DVR设备僵尸网络攻击
发布日期: 2025年6月17日
概述
针对物联网设备的大规模利用尝试
威胁行为者正在积极利用CVE-2024-3721,这是TBK DVR设备中的一个命令注入漏洞。该漏洞允许通过向端点发送特制HTTP请求实现未授权远程代码执行。受感染的设备被征用到能够实施DDoS攻击的僵尸网络中。
通用漏洞披露: CVE-2024-3721
分析
背景
FortiGuard Labs检测到利用CVE-2024-3721的恶意网络活动显著增加,这是一个影响TBK DVR设备的关键未授权命令注入漏洞。FortiGuard的全球入侵防御系统传感器记录了超过60,000个检测事件,表明存在广泛且协调的利用尝试。
我们的遥测数据显示,多个僵尸网络运营商正在积极利用此漏洞扩展其基础设施。值得注意的是,我们观察到了与Condi、Fodcha、Mirai和Unstable僵尸网络家族相关的有效载荷和行为——这些家族都以针对物联网设备执行大规模分布式拒绝服务攻击和建立持久远程访问而闻名。
FortiGuard Labs持续监控此威胁,并在获得新情报时提供更新。FortiGuard之前曾针对不同的TBK漏洞发布过疫情警报。
威胁雷达
- 总体评分: 3.2
- CVSS评级: 6.3
- FortiRecon评分: 90/100
- 已知利用: 否
- 利用预测评分: 83.57%
- FortiGuard遥测: 75,358
解决方案
最新进展
目前,我们尚未知悉任何供应商为此问题提供的补丁或更新。一旦可用,建议立即打补丁。或者,我们建议隔离或更换TBK DVR,并监控DVR的异常流量模式或二进制文件投放。
强烈建议拥有面向互联网的DVR系统的组织立即采取缓解措施,包括:
- 阻止与这些僵尸网络相关的已知危害指标
- 应用供应商提供的固件补丁或安全更新
- 限制对DVR接口的远程访问,并将其置于防火墙或VPN之后
相关时间线:
- 2025年6月10日:FortiGuard发布威胁信号报告
- 2025年6月6日:Securelist对利用TBK DVR设备的最新Mirai波次进行分析
FortiGuard网络安全框架
保护
- 诱饵系统: FortiDeceptor DB 20250715
- 诱饵虚拟机: FortiDeceptor DB 20250715
- 防病毒: 检测与疫情相关的已知恶意软件
- 行为检测: FortiSandbox
- 入侵防护: 检测并阻止利用该漏洞的攻击尝试
- 僵尸网络C&C: FortiGate DB 3.01340
检测
- 危害指标: FortiAnalyzer、FortiCloud SOCaaS、FortiSIEM、FortiSOAR
- 疫情检测: FortiAnalyzer DB 2.00076、FortiClient、FortiCloud SOCaaS等
响应
- 自动化响应服务: FortiXDR
- 辅助响应服务: 事件响应
恢复
- NOC/SOC培训: NSE培训、响应准备
- 最终用户培训: 安全意识与培训
识别
- 攻击面监控: FortiRecon: ACI、FortiRecon: EASM
- 攻击面加固: 安全评级
威胁情报
危害指标
IOC威胁活动
- 过去24小时:1,805
- 趋势:518%
入侵防护
TBK DVR SOSTREAMAX命令注入
- 过去24小时:4,120
- 趋势:-87%
目标统计
前五大目标国家(过去7天)
- 巴西:3,059,189
- 土耳其:2,394,190
- 意大利:520,664
- 韩国:386,533
前五大目标行业(过去7天)
- 科技:2,063,085
- 教育:1,099,177
- 电信/运营商:728,663
- 政府:274,998