Ciberdelincuentes explotan fallos en TBK DVR y routers TP-Link EoL para propagar variantes de Mirai

Introducción

En las últimas semanas, equipos de investigación en ciberseguridad de Fortinet FortiGuard Labs y Palo Alto Networks Unit 42 han detectado una oleada de ataques dirigidos contra dispositivos TBK DVR y routers Wi-Fi TP-Link declarados end-of-life (EoL). Los atacantes están aprovechando vulnerabilidades conocidas, principalmente CVE-2024-3721, para comprometer estos dispositivos y desplegar variantes de la red de bots Mirai. Este incidente subraya el riesgo que representan los dispositivos obsoletos y mal gestionados en infraestructuras conectadas, especialmente en entornos empresariales y de proveedores de servicios.

Contexto del Incidente o Vulnerabilidad

El ataque contra los dispositivos de grabación digital de vídeo (DVR) TBK y los routers Wi-Fi TP-Link EoL se enmarca en una tendencia creciente de explotación de hardware abandonado por los fabricantes. Los dispositivos DVR TBK, utilizados principalmente en sistemas de videovigilancia, presentan la vulnerabilidad CVE-2024-3721, una inyección de comandos de severidad media (CVSS 6.3) que permite la ejecución remota de código. Por otro lado, los routers TP-Link afectados han dejado de recibir soporte, lo que impide la aplicación de parches de seguridad frente a amenazas emergentes.

Detalles Técnicos

La vulnerabilidad CVE-2024-3721 afecta a múltiples versiones de firmware de los dispositivos TBK DVR. Permite a un atacante remoto, sin autenticación, inyectar comandos arbitrarios a través de parámetros mal validados en la interfaz web de administración. El vector de ataque más común consiste en el envío de peticiones HTTP especialmente diseñadas, insertando cargas maliciosas en campos susceptibles de ser interpretados por el sistema operativo subyacente.

En el caso de los routers TP-Link EoL, aunque no se ha identificado un CVE específico en esta campaña concreta, los atacantes se aprovechan de múltiples debilidades conocidas, como credenciales por defecto y vulnerabilidades de ejecución remota de código documentadas en exploits públicos (por ejemplo, a través de Metasploit).

Ambos vectores permiten la descarga y ejecución de payloads asociados a variantes recientes de la botnet Mirai. Los atacantes emplean TTPs alineadas con las matrices MITRE ATT&CK, especialmente las técnicas T1190 (Exploitation of Remote Services), T1059 (Command and Scripting Interpreter) y T1105 (Ingress Tool Transfer). Los indicadores de compromiso (IoC) incluyen tráfico anómalo hacia servidores de comando y control (C2), procesos sospechosos y conexiones SSH/Telnet no autorizadas.

Impacto y Riesgos

El impacto de estos ataques es significativo, tanto a nivel de infraestructura como de negocio. La explotación permite a los atacantes tomar el control total de los dispositivos comprometidos, integrándolos en botnets para lanzar ataques DDoS, escaneos masivos o incluso como puntos de entrada hacia redes corporativas.

Según estimaciones de FortiGuard Labs, se calcula que cientos de miles de dispositivos TBK DVR y routers TP-Link EoL permanecen expuestos en Internet, especialmente en sectores como retail, pymes y operadores de telecomunicaciones. El uso de variantes de Mirai —una de las botnets más prolíficas desde 2016— incrementa el riesgo de interrupciones en servicios críticos y posibles incumplimientos de normativas como el GDPR o la futura NIS2, que exige la gestión proactiva de vulnerabilidades y la retirada de equipos obsoletos.

Medidas de Mitigación y Recomendaciones

Las recomendaciones para mitigar estos riesgos pasan por una combinación de acciones técnicas y de gestión:

– Identificación y segmentación de dispositivos DVR TBK y routers TP-Link obsoletos en el inventario de activos.
– Desconexión inmediata de dispositivos EoL de la red, priorizando su reemplazo.
– Aplicación de parches de seguridad disponibles y actualización de firmware en dispositivos no EoL.
– Implementación de controles de acceso robustos (ACLs, firewall, segmentación VLAN) y desactivación de servicios innecesarios como Telnet y UPnP.
– Monitorización activa de tráfico saliente para detectar conexiones sospechosas a servidores C2.
– Utilización de soluciones de detección de amenazas (EDR, NDR, IDS/IPS) y colaboración con los CERT nacionales para intercambio de IoCs relevantes.
– Formación continua para administradores sobre las amenazas asociadas al IoT y la gestión de dispositivos legacy.

Opinión de Expertos

Expertos consultados por Unit 42 han subrayado la peligrosidad de dejar dispositivos EoL conectados: “Las botnets como Mirai evolucionan constantemente y buscan precisamente aquellos dispositivos que los equipos de IT olvidan en la periferia de la red. La gestión proactiva del ciclo de vida de los dispositivos es esencial para evitar brechas sistémicas”, afirma un analista senior de Palo Alto Networks. Desde Fortinet, insisten en la importancia de la visibilidad y la actualización continua del inventario de activos.

Implicaciones para Empresas y Usuarios

Para las empresas, este incidente evidencia la necesidad de revisar políticas de gestión de activos y ciclos de vida tecnológicos. La exposición prolongada de dispositivos vulnerables puede derivar en incidentes de seguridad graves, sanciones regulatorias y daños reputacionales. Los usuarios domésticos y pequeñas organizaciones también deben ser conscientes de que los dispositivos conectados, especialmente los obsoletos, pueden ser explotados como parte de ataques a gran escala.

Conclusiones

La explotación de la vulnerabilidad CVE-2024-3721 en TBK DVR y de routers TP-Link EoL para propagar botnets Mirai ilustra los riesgos inherentes a la falta de mantenimiento de dispositivos conectados. La actualización, segmentación y retirada proactiva de equipos obsoletos debe ser una prioridad en cualquier estrategia de ciberseguridad. Las amenazas sobre IoT y dispositivos legacy seguirán en aumento, por lo que la defensa en profundidad y la colaboración sectorial son clave para reducir la superficie de ataque y cumplir con las obligaciones legales emergentes.

(Fuente: feeds.feedburner.com)