Neue Mirai-Welle attackiert TBK-DVRs: Botnetz nutzt CVE-2024-3721 zur Infektion verwundbarer Überwachungssysteme

24. Juni 2025

Einmal mehr steht das berüchtigte Mirai-Botnetz im Zentrum eines groß angelegten Angriffs: Eine neue Variante der Schadsoftware zielt auf Digitalrekorder von TBK Vision und nutzt dabei die Sicherheitslücke CVE-2024-3721 aus – eine Schwachstelle, die Angreifern die Ausführung von Befehlen über manipulierte HTTP-Anfragen ermöglicht.

Automatisierte Angriffe auf verwundbare Systeme

Wie schon in der Vergangenheit greifen Botnetze systematisch öffentlich erreichbare Geräte an, die anfällig für bekannte Schwachstellen sind. Besonders im Fokus stehen Embedded-Systeme wie IP-Kameras oder DVRs, die häufig mit veralteter oder schlecht gewarteter Firmware betrieben werden. Die aktuelle Angriffswelle wurde unter anderem durch das Sicherheitsunternehmen Kaspersky entdeckt, das entsprechende Aktivitäten in seinen Linux-Honeypots registrierte. Dabei kam ein Proof-of-Concept-Code (PoC) von netsecfish zum Einsatz, der gezielt die erwähnte TBK-Sicherheitslücke ausnutzt.

Die Angreifer platzieren eine ARM32-Malware-Binärdatei auf den betroffenen Geräten, die sich mit einem Command-and-Control-Server (C2) verbindet. Anschließend wird das Gerät in das Mirai-Botnetz integriert – und kann für DDoS-Angriffe, die Weiterleitung schädlichen Datenverkehrs oder weitere Attacken verwendet werden.

Global verteilte Infektionen – aber auch blinde Flecken

Laut Kaspersky sind weltweit rund 50.000 Geräte potenziell anfällig – deutlich weniger als die von netsecfish im Vorjahr gemeldeten 114.000. Die Mehrheit der erfassten Infektionen entfällt auf Länder wie China, Indien, Ägypten, die Ukraine, Russland, die Türkei und Brasilien. Allerdings ist zu beachten, dass Kasperskys Telemetrie durch politische Einschränkungen geografisch begrenzt sein kann.

Neue Mirai-Variante mit erweiterten Fähigkeiten

Der DVR-Bot basiert auf dem öffentlich zugänglichen Mirai-Quellcode, wurde jedoch um zusätzliche Funktionen erweitert. Dazu zählen unter anderem RC4-verschlüsselte Strings, Anti-VM-Mechanismen und Anti-Emulationstechniken, die eine Analyse durch Sicherheitsforscher erschweren sollen. Ziel dieser Anpassungen ist es, die Entdeckung und Untersuchung der Malware zu erschweren – ein gängiges Vorgehen bei modernen Botnetz-Varianten.

Patches unklar – Verfügbarkeit schwer überprüfbar

Ob und wann TBK Vision Sicherheitsupdates für die betroffenen Geräte bereitstellt, ist derzeit ungewiss. Die Situation wird zusätzlich durch die Tatsache erschwert, dass die betroffenen Geräte – etwa DVR-4104 und DVR-4216 – unter zahlreichen Markennamen wie QSee, CeNova, Night OWL oder Securus verkauft wurden. Dadurch ist die Zuordnung von Firmware-Updates für Endnutzer kaum zu bewältigen.

Schnelle Ausnutzung offengelegter Schwachstellen

Der Forscher netsecfish hatte die Schwachstelle im vergangenen Jahr öffentlich gemacht – ebenso wie mehrere andere Probleme, darunter eine Backdoor-Konto-Schwäche bei D-Link-End-of-Life-Geräten. In beiden Fällen wurde nur wenige Tage nach Veröffentlichung eines PoC-Codes bereits eine aktive Ausnutzung durch Malware beobachtet. Dies unterstreicht erneut, wie rasch Cyberkriminelle öffentlich dokumentierte Exploits in reale Angriffe umsetzen.

Fazit: Die jüngste Angriffswelle zeigt einmal mehr die Verwundbarkeit vieler IoT- und DVR-Systeme. Nutzer entsprechender Geräte sollten ihre Systeme dringend auf potenzielle Sicherheitslücken prüfen, sofern dies durch die Gerätehersteller überhaupt noch möglich ist. In Anbetracht der rasanten Verbreitung und Anpassung von Schadsoftware wie Mirai ist ein zügiger Umgang mit veröffentlichten Sicherheitslücken unerlässlich.

Die Ausnutzung bekannter Sicherheitslücken in IoT-Geräten und Servern, die nicht gepatcht wurden, sowie die weit verbreitete Verwendung von Malware, die auf Linux-basierte Systeme abzielt, führt dazu, dass eine beträchtliche Anzahl von Bots ständig das Internet nach Geräten durchsucht, die sie infizieren können.

Das Hauptziel solcher Bots ist es, Angriffe durchzuführen, die Websites und Dienste überlasten (DDoS-Angriffe). Die meisten dieser Bots bleiben nach dem Neustart des Geräts nicht aktiv, da einige Geräte-Firmware keine Änderungen am Dateisystem zulässt. Um sich vor solchen Infektionen zu schützen, empfehlen wir, anfällige Geräte zu aktualisieren, sobald Sicherheitspatches verfügbar sind. Eine weitere Möglichkeit ist das Zurücksetzen auf die Werkseinstellungen, wenn Ihr Gerät tatsächlich anfällig und gefährdet ist.

Bild/Quelle: https://depositphotos.com/de/home.html