Mirai Variant Nexcorium Exploits CVE-2024-3721 to Hijack TBK DVRs for DDoS Botnet

Propagation du botnet Nexcorium via l’exploitation de failles IoT

Des attaquants exploitent activement des vulnérabilités critiques dans les appareils IoT (enregistreurs DVR TBK et routeurs TP-Link en fin de vie) pour déployer des variantes du botnet Mirai, dont la souche Nexcorium. Ces dispositifs sont ciblés en raison de leur sécurité souvent défaillante, de l’absence de mises à jour et de l’utilisation récurrente de mots de passe par défaut.

Points clés :

• Nexcorium : Une variante de Mirai qui utilise une injection de commande, une persistance via crontab/systemd et des attaques par force brute (Telnet) pour mener des offensives DDoS (UDP, TCP, SMTP).
• Propagation : Le malware utilise également des exploits secondaires pour infecter d’autres appareils sur le réseau local.
• Infrastructure : Les attaquants ciblent des équipements en fin de vie (EoL) qui ne reçoivent plus de correctifs de sécurité.

Vulnérabilités exploitées :

• CVE-2024-3721 (Score 6.3) : Injection de commande dans les DVR TBK-4104 et DVR-4216, utilisée pour injecter le script malveillant.
• CVE-2017-17215 : Utilisée par Nexcorium pour se propager latéralement vers les équipements Huawei HG532.
• CVE-2023-33538 (Score 8.8) : Injection de commande dans les routeurs TP-Link (séries TL-WR940N, TL-WR740N, TL-WR841N), ciblée par des scans automatisés pour tenter d’installer le botnet “Condi”.

Recommandations :

• Remplacement des équipements : Pour les routeurs TP-Link et autres appareils en fin de vie (EoL), le remplacement par des modèles récents supportés est la seule solution garantissant une sécurité adéquate.
• Gestion des accès : Modifier impérativement tous les identifiants et mots de passe par défaut.
• Sécurisation du réseau : Désactiver les services inutilisés, notamment Telnet, et isoler les périphériques IoT sur un segment réseau distinct (VLAN) pour limiter les risques de mouvement latéral.

Source