تستغل حملة روبوتية (botnet) حديثة ثغرة أمنية حرجة في أجهزة التسجيل الرقمي للفيديو (DVR) من TBK، وذلك لنشر برمجية خبيثة خطيرة تعرف باسم Nexcorium. هذه البرمجية، المبنية على شبكة Mirai، مصممة لتنفيذ هجمات حجب الخدمة الموزعة على نطاق واسع.
تقع الثغرة الأمنية الرئيسية في بؤرة هذه الحملة تحت مسمى CVE-2024-3721، وتحمل تقييم CVSS يبلغ 6.3. وتؤثر هذه الثغرة على طرازي DVR-4104 و DVR-4216 من TBK، اللذين أصبحا هدفين رئيسيين بسبب برمجياتهما الثابتة (firmware) القديمة وكلمات المرور الافتراضية الضعيفة.
إن أجهزة TBK DVR المتضررة من هذه الحملة كانت في السابق محط انتباه الباحثين الأمنيين نظراً لانتشارها الواسع في الشركات الصغيرة، ومحلات البيع بالتجزئة، وأنظمة المراقبة، حيث غالباً ما لا تكون تحديثات البرامج الثابتة أولوية.
بمجرد أن يجد المهاجمون جهازاً مكشوفاً، يقومون بإرسال طلب HTTP مصمم خصيصاً إلى نقطة الضعف الموجودة في المسار /device.rsp?opt=sys&cmd=___S_O_S_T_R_E_A_MAX___. يسمح هذا بتنفيذ أوامر نظام التشغيل دون الحاجة لأي مصادقة.
هذه الخطوة الواحدة تمنح المهاجم إمكانية تنفيذ الأوامر عن بعد على الجهاز، محولةً بذلك جهاز تسجيل كاميرات المراقبة إلى مشارك غير راغب في شبكة هجوم منسقة.
تمكن باحثو Fortinet’s FortiGuard Labs من تحديد وتحليل هذه الحملة بالتفصيل، وتتبع سلسلة العدوى الكاملة بدءاً من الاستغلال الأولي وصولاً إلى تسليم الحمولات الخبيثة وتثبيت الثبات.
كيفية عمل Nexcorium وأساليب تجنب إزالته
بمجرد وصول Nexcorium إلى جهاز TBK DVR، يتبع آلية الإصابة تسلسلاً منظماً يهدف إلى ضمان بقائه نشطاً حتى لو تمت إعادة تشغيل الجهاز أو التدخل فيه.
يقوم الاستغلال الأولي لـ CVE-2024-3721 بسحب برنامج تنزيل (downloader) نصي، والذي يقوم بدوره بتحديد معمارية معالج نظام Linux الأساسي وسحب النسخة المترجمة الصحيحة للبرمجية الخبيثة لتلك العتاد المحدد.
يدعم Nexcorium معماريات معالجات متعددة، مما يعني أنه يمكنه إصابة مجموعة واسعة من أجهزة إنترنت الأشياء (IoT) إلى جانب الأهداف الأولية دون الحاجة لإعادة كتابته.
بعد تثبيت النسخة الصحيحة، تتجذر البرمجية الخبيثة باستخدام طرق ثبات متعددة لضمان بقائها بعد عمليات إعادة التشغيل ومحاولات الإنهاء اليدوي.
لاحظ باحثو Fortinet أن Nexcorium يقيم قناة اتصال مع خادم القيادة والتحكم (C2)، والتي يمكن من خلالها لمشغل الشبكة الروبوتية إصدار أوامر هجمات DDoS، ومراقبة حالة الضحايا، وإرسال تعليمات إضافية مباشرة إلى العقد المصابة.
تعزز البرمجية الخبيثة موقعها بشكل إضافي عن طريق تشغيل عملية مراقبة (watchdog) تقوم باستمرار بالتحقق مما إذا كانت عملية الحمولة الأساسية لا تزال نشطة، وتقوم بإعادة تشغيلها تلقائياً إذا حدث أي شيء يعطل تنفيذها.
من الميزات البارزة للحماية الذاتية التي حددتها Fortinet، أن Nexcorium يستخدم خوارزميات التجزئة FNV-1a للتحقق من سلامة ملفاته الثنائية.
إذا تم تعديل الملف على القرص أو أصبح غير قابل للقراءة، ربما بسبب حذف جزئي أو تدخل برامج مكافحة الفيروسات، تقوم البرمجية الخبيثة بنسخ نفسها ديناميكياً تحت اسم ملف جديد لاستعادة وجودها.
علاوة على ذلك، يشن Nexcorium هجمات تخمين قوية عبر بروتوكول Telnet ضد أجهزة أخرى في نفس الشبكة وخارجها، مستخدماً قائمة ثابتة ببيانات الاعتماد الافتراضية الشائعة لنشر نفسه ذاتياً دون أي تدخل إضافي من المهاجم.
يجب على المنظمات والأفراد الذين يستخدمون أجهزة TBK DVR-4104 أو DVR-4216 استبدالها فوراً بنماذج مدعومة، نظراً لأن البائع لم يصدر تصحيحاً لـ CVE-2024-3721 وتعتبر هذه الأجهزة قديمة من الناحية الأمنية.
بالمثل، يجب إيقاف واستبدال أي أجهزة توجيه TP-Link تعمل ببرامج ثابتة قديمة وعرضة لـ CVE-2017-17215.
يجب على المسؤولين أيضاً التأكد من أن جميع أجهزة إنترنت الأشياء المتصلة بالإنترنت تستخدم كلمات مرور قوية وفريدة بدلاً من الافتراضيات، حيث أن وحدة التخمين في Nexcorium تستهدف بشكل خاص الأجهزة التي لا تزال تستخدم بيانات اعتماد شائعة.
يوصى بشدة بتقسيم الشبكة، وعزل أجهزة DVR ومعدات المراقبة عن الأنظمة الداخلية الحيوية للحد من الضرر في حال اختراق جهاز ما.
حيثما أمكن، فإن تعطيل الوصول عن بعد لواجهات إدارة DVR التي لا تتطلب اتصالاً خارجياً هو أحد أكثر الطرق فعالية لإغلاق سطح الهجوم الذي تعتمد عليه هذه الحملة.