Un pic significatif de tentatives d’exploitation ciblant les DVR TVT NVMS9000 a été détecté, culminant le 3 avril 2025, avec plus de 2 500 adresses IP uniques analysant les périphériques vulnérables.
Les attaques tentent d’exploiter une vulnérabilité de divulgation d’informations révélée pour la première fois par un avis SSD en mai 2024, qui a publié les détails complets de l’exploitation sur la récupération des informations d’identification de l’administrateur en texte clair à l’aide d’une seule charge utile TCP.
L’exploitation entraîne un contournement d’authentification, permettant aux attaquants d’exécuter des commandes administratives sur l’appareil sans restriction.
Selon la plate-forme de surveillance des menaces GreyNoise, qui a détecté l’activité d’exploitation, elle est probablement liée à un malware basé sur Mirai qui cherche à incorporer les appareils dans son botnet.
En règle générale, les appareils infectés sont ensuite utilisés pour proxy le trafic malveillant, le minage de chiffrement ou lancer des attaques par déni de service distribué (DDoS).
Au cours du dernier mois, GreyNoise a enregistré 6 600 adresses IP distinctes associées à cette activité, toutes confirmées comme malveillantes et non usurpables.
La plupart des attaques proviennent de Taïwan, du Japon et de la Corée du Sud, tandis que la majorité des appareils ciblés sont basés aux États-Unis, au Royaume-Uni et en Allemagne.
Le DVR TVT NVMS9000 est un enregistreur vidéo numérique fabriqué par la société TVT Digital Technology Co., basée à Shenzen., Ltd.
Ces DVR sont principalement utilisés dans les systèmes de sécurité et de surveillance pour enregistrer, stocker et gérer les séquences vidéo des caméras de sécurité.
Comme les DVR sont généralement connectés à Internet, ils ont toujours été ciblés par divers botnets, certains exploitant même des failles vieilles de cinq ans.
Parmi les exemples récents de botnets ciblant les DVR exposés, citons HiatusRAT, Mirai et FreakOut.
Selon l’avis de SSD, les clients doivent passer à la version 1.3.4 ou ultérieure du micrologiciel pour corriger la faille.
Si la mise à niveau est impossible, il est recommandé de restreindre l’accès Internet public aux ports DVR et de bloquer les demandes entrantes provenant des adresses IP répertoriées par GreyNoise.
Les signes d’infections Mirai sur les DVR incluent des pics de trafic sortant, des performances lentes, des plantages ou des redémarrages fréquents, une utilisation élevée du processeur/de la mémoire même en cas d’inactivité et des configurations modifiées.
Si l’un de ceux-ci est repéré, déconnectez le DVR, effectuez une réinitialisation d’usine, mettez à jour le dernier micrologiciel, puis isolez-le du réseau principal.
La dernière version du micrologiciel du NVMS9000 remonte à 2018, il n’est donc pas clair si les périphériques sont toujours pris en charge.