0day-уязвимость в DigiEver DS-2105 превращает видеорегистраторы в зомби

Исследователи кибербезопасности выявили новую ботнет-сеть, основанную на базе Mirai, которая активно эксплуатирует уязвимость удалённого выполнения кода в видеорегистраторах DigiEver DS-2105 Pro. Уязвимость носит статус Zero-day, ей ещё не присвоен CVE, а исправления выпущено не было. Этот факт делает устройства жертв лёгкой целью для хакеров.

Кибератака началась в октябре, затронув различные сетевые видеорегистраторы и маршрутизаторы TP-Link с устаревшим программным обеспечением. Одна из уязвимостей, использованных в кампании, была представлена исследователем TXOne Та-Луном Йеном на конференции DefCamp в Бухаресте. По его данным, проблема затрагивает множество DVR-устройств.

Специалисты Akamai обнаружили активную эксплуатацию данной уязвимости с середины ноября, хотя доказательства указывают, что атаки начались ещё в сентябре. Помимо DigiEver, ботнет нацелен на уязвимости CVE-2023-1389 в устройствах TP-Link и CVE-2018-17532 в маршрутизаторах Teltonika RUT9XX.

В уязвимости, связанной с устройствами DigiEver, используется ошибка в обработке URI '/cgi-bin/cgi_main.cgi', где отсутствует корректная проверка пользовательских данных. Это позволяет неаутентифицированным злоумышленникам удалённо вводить команды, такие как curl и chmod, через параметры HTTP-запросов, например, поле ntp.

Хакеры используют командную инъекцию для загрузки вредоносного файла с внешнего сервера, после чего устройство подключается к ботнету. Для сохранения доступа добавляются задания cron. Скомпрометированные устройства применяются для проведения DDoS-атак или для дальнейшего распространения ботнета.

Новая версия Mirai выделяется использованием шифрования XOR и ChaCha20, а также поддержкой множества архитектур, включая x86, ARM и MIPS. По мнению Akamai, это свидетельствует о развитии методов работы операторов ботнетов.

Большинство подобных сетей всё ещё используют оригинальные алгоритмы шифрования из начального исходного кода Mirai. Однако новые методы, такие как ChaCha20, указывают на повышение уровня угрозы. В докладе Akamai также представлены индикаторы компрометации (IoC) и Yara-правила, которые помогут обнаружить и заблокировать данную угрозу.

Современные ботнеты демонстрируют растущую сложность и адаптивность, превращая каждую уязвимость в инструмент для масштабных атак. Правильно выстроенная цифровая оборона требует не только своевременных обновлений, но и проактивного анализа угроз.