AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Nueva variante de Mirai explota vulnerabilidad en grabadores TBK DVR para ampliar su botnet**

admin

### 1. Introducción

El ecosistema de botnets continúa evolucionando con el descubrimiento de una nueva variante del malware Mirai que apunta a dispositivos de videograbación digital (DVR) TBK, concretamente los modelos DVR-4104 y DVR-4216. Esta campaña aprovecha una vulnerabilidad de inyección de comandos aún no parcheada para tomar el control de estos dispositivos, incrementando el poder de la botnet y ampliando la superficie de ataque disponible para campañas de denegación de servicio distribuido (DDoS) y otras actividades maliciosas. Este incidente pone de manifiesto la necesidad de reforzar la seguridad en dispositivos IoT industriales y de videovigilancia, segmentos históricamente vulnerables por su bajo mantenimiento y exposición directa a Internet.

### 2. Contexto del Incidente o Vulnerabilidad

Desde su primera aparición en 2016, Mirai se ha consolidado como uno de los botnets más prolíficos orientados a dispositivos IoT, con especial predilección por aquellos con contraseñas débiles o vulnerabilidades conocidas. La nueva variante detectada en junio de 2024 se diferencia por focalizar sus ataques en una vulnerabilidad específica de los DVR TBK, muy extendidos en entornos de videovigilancia en pequeñas empresas y particulares.

Estos dispositivos, que suelen estar conectados directamente a Internet para acceso remoto, rara vez reciben actualizaciones regulares, haciendo de ellos un objetivo atractivo para los operadores de botnets. Se estima que existen miles de TBK DVR-4104 y DVR-4216 expuestos en buscadores como Shodan, especialmente en países europeos y asiáticos.

### 3. Detalles Técnicos

#### Vulnerabilidad y CVE

La vulnerabilidad explotada es una inyección de comandos en la interfaz web de administración de los dispositivos TBK DVR-4104 y DVR-4216. Aunque aún no ha recibido un CVE oficial, la comunidad de investigadores ha catalogado el fallo como de severidad crítica debido a que permite la ejecución remota de comandos arbitrarios con privilegios de sistema.

#### Vectores de ataque

El vector radica en la falta de saneamiento de los parámetros recibidos por la interfaz web de administración, permitiendo a los atacantes insertar comandos en campos de formularios HTTP GET/POST. El exploit conocido utiliza peticiones especialmente manipuladas para descargar e instalar la carga útil de Mirai directamente en el sistema operativo embebido del DVR.

#### TTPs y frameworks

Los TTP identificados corresponden al framework MITRE ATT&CK, concretamente:

– **Initial Access: Exploit Public-Facing Application (T1190)**
– **Execution: Command and Scripting Interpreter (T1059)**
– **Persistence: Implant Internal Image (T1546.004)**

Durante el análisis forense, se han detectado scripts de descarga compatibles con Wget y BusyBox, ampliamente utilizados en variantes de Mirai. No se descarta el uso de frameworks de explotación automatizada como Metasploit, aunque la mayor parte de los ataques observados son directos desde infraestructura controlada por los actores.

#### IoCs

Entre los indicadores de compromiso destacan URLs específicas de descarga, hashes SHA256 de las cargas útiles y direcciones IP asociadas a servidores de mando y control (C2) vinculados históricamente a campañas Mirai.

### 4. Impacto y Riesgos

El principal riesgo reside en la incorporación de los DVR comprometidos a la botnet Mirai, lo que potencia las capacidades de ataque DDoS a gran escala. Estos dispositivos, al estar frecuentemente expuestos en redes corporativas, pueden servir como punto de entrada para ataques laterales y movimiento interno, comprometiendo la seguridad de las infraestructuras asociadas.

Se estima que más del 30% de los TBK DVR-4104 y DVR-4216 expuestos públicamente podrían estar en riesgo, lo que representa varios miles de unidades a nivel global. El impacto económico potencial es difícil de cuantificar, pero campañas previas asociadas a Mirai han causado pérdidas millonarias en servicios online y reputación empresarial.

### 5. Medidas de Mitigación y Recomendaciones

– **Desconectar los DVR afectados de Internet** hasta que se disponga de un parche oficial.
– **Restringir el acceso remoto** mediante VPN o túneles cifrados y emplear listas blancas de IPs autorizadas.
– **Implementar autenticación robusta** y cambiar credenciales por defecto.
– **Monitorizar logs de acceso y tráfico anómalo** para identificar intentos de explotación.
– **Actualizar firmware** en cuanto el fabricante publique una versión corregida.
– **Aplicar segmentación de red** para aislar dispositivos IoT del resto de la infraestructura corporativa.

### 6. Opinión de Expertos

Analistas de ciberseguridad coinciden en que la exposición de dispositivos IoT sin protección básica sigue siendo uno de los principales vectores de ataques masivos. “La rápida adaptación de Mirai a nuevas vulnerabilidades evidencia la profesionalización detrás de estas botnets. Sin una gestión activa de parches y políticas de acceso restrictivas, los dispositivos IoT continuarán siendo el eslabón débil en la cadena de seguridad”, afirma un CISO de una empresa de telecomunicaciones europea.

### 7. Implicaciones para Empresas y Usuarios

Para las organizaciones sujetas a normativas como el GDPR y la futura NIS2, la explotación de estos dispositivos puede derivar en brechas de seguridad, sanciones regulatorias y pérdida de confianza de clientes. Es fundamental que las empresas inventaríen todos los sistemas IoT conectados, implementen controles de acceso y garanticen la actualización continua de sus dispositivos.

Los usuarios particulares deben ser conscientes de los riesgos de conectar dispositivos de videovigilancia a Internet sin medidas básicas de seguridad y considerar siempre la segmentación de red y el monitoreo activo.

### 8. Conclusiones

La aparición de nuevas variantes de Mirai capaces de explotar vulnerabilidades en dispositivos DVR refuerza la urgencia de adoptar una postura proactiva en la gestión de la seguridad IoT. La colaboración entre fabricantes, proveedores de servicios y equipos de seguridad será crucial para mitigar el impacto de estas amenazas y evitar la expansión de botnets que continúan evolucionando sin descanso.

(Fuente: www.bleepingcomputer.com)