Fortinet FortiGuard Labs har identifierat en ny variant av den ökända Mirai-malware som kallas Nexcorium. Den riktar sig specifikt mot TBK DVR-4104 och DVR-4216, videoinspelningsenheter som används i övervakningssystem hos företag och organisationer världen över. För svenska företag med äldre kamerautrustning är hotet högst relevant.

Så fungerar Nexcorium

Nexcorium utnyttjar CVE-2024-3721, en command injection-sårbarhet i TBK:s DVR-enheter. När en enhet har komprometterats visas meddelandet "NexusCorp has taken control" som en signatur från gruppen bakom attacken: Nexus Team, som signerar sina intrång med texten "Nexus Team, Exploited By Erratic".

Det som gör Nexcorium extra farligt är att det fungerar på flera olika processorarkitekturer. Det innebär att malware kan spridas till en rad olika enheter i samma nätverk. Efter installation kopierar sig programvaran till flera mappar, sätter upp schemalagda uppgifter för att överleva omstarter och raderar sedan originalfilerna för att försvåra upptäckt.

Brute force med standardlösenord

En central del av spridningsmetoden är brute force-attacker med en lång lista hårdkodade lösenord. Kombinationer som "admin123", "12345" och "guest" finns med i listan. Det är lösenord som fortfarande används som standard i många enheter som aldrig har konfigurerats om efter installation.

När Nexcorium väl har fått fotfäste i en enhet försöker det kompromittera andra smarta enheter på samma nätverk, exempelvis routrar och ytterligare kameror. Syftet är att bygga ett botnät som kan användas för storskaliga DDoS-attacker. All kommunikation med kommando- och kontrollservrar sker via kända sårbarheter, bland annat CVE-2017-17215.

Övervakningskameror: en förbisedd attackyta

Många svenska små och medelstora företag har övervakningskameror och DVR-enheter installerade, ofta med standardlösenord och utan regelbundna uppdateringar av firmware. Dessa enheter glöms lätt bort i det dagliga IT-arbetet, men de är fullvärdiga nätverksenheter som kan kapas och användas som språngbräda för attacker mot andra system.

En kompromitterad kamera syns sällan i vanlig övervakning av IT-miljön. Den fortsätter att fungera som vanligt samtidigt som den i bakgrunden deltar i DDoS-attacker eller sprider malware vidare i nätverket.

Så skyddar du ditt företag

Det finns flera konkreta åtgärder som minskar risken avsevärt:

Byt standardlösenord omedelbart. Alla kameror, DVR-enheter och routrar ska ha unika, starka lösenord. Lösenord som "admin123" eller "12345" är en öppen dörr.

Uppdatera firmware regelbundet. Kontrollera om tillverkaren har släppt säkerhetsuppdateringar för dina enheter. Om enheten inte längre får uppdateringar bör den bytas ut.

Segmentera IoT-enheter på ett eget nätverk. Kameror och andra smarta enheter ska inte dela nätverk med servrar, arbetsstationer eller känsliga system. Ett separat VLAN begränsar skadan om en enhet kompromitteras.

Inventera alla anslutna enheter. Många företag saknar en komplett bild av vilka enheter som finns i nätverket. En inventering är första steget mot bättre kontroll.