### TBK DVR-Geräte im Visier von CVE-2024-3721 **Fortinet** berichtet, dass Angreifer **CVE-2024-3721** (CVSS-Score: 6.3), eine Command-Injection-Schwachstelle, in den digitalen Videorekordern **TBK DVR-4104** und **DVR-4216** ausnutzen. Diese Lücke ermöglicht den Einsatz einer **Mirai**-Variante namens **Nexcorium**. Der Sicherheitsforscher Vincent Li bemerkte: "IoT-Geräte sind zunehmend Hauptziele für groß angelegte Angriffe aufgrund ihrer weiten Verbreitung, mangelnden Patches und oft schwachen Sicherheitseinstellungen. Bedrohungsakteure nutzen weiterhin bekannte Schwachstellen aus, um den ersten Zugriff zu erlangen und Malware bereitzustellen, die bestehen, sich verbreiten und Distributed-Denial-of-Service (DDoS)-Angriffe verursachen kann." Diese Schwachstelle wurde bereits zuvor zum Einsatz anderer **Mirai**-Varianten und des **RondoDox**-Botnets ausgenutzt. Im September 2025 deckte **CloudSEK** ein Loader-as-a-Service-Botnet auf, das **RondoDox**, **Mirai** und **Morte** Payloads verteilte. Die Exploit-Kette beinhaltet die Nutzung von **CVE-2024-3721**, um ein Skript herunterzuladen und auszuführen, das die Botnet-Payload basierend auf der Systemarchitektur abruft. Nach der Ausführung zeigt die Malware "nexuscorp has taken control" an. ### Nexcorium Botnet-Fähigkeiten **Nexcorium** weist architektonische Ähnlichkeiten mit anderen **Mirai**-Varianten auf, darunter XOR-kodierte Konfiguration, ein Watchdog-Modul und DDoS-Angriffsfähigkeiten. Die Malware nutzt außerdem **CVE-2017-17215** aus, um **Huawei HG532**-Geräte anzugreifen. Sie verwendet weiterhin eine Liste hartkodierter Anmeldedaten für Brute-Force-Angriffe über Telnet. Erfolgreiche Anmeldungen führen zu Shell-Zugriff, Einrichtung der Persistenz mittels crontab und systemd sowie zur Verbindung mit einem externen Server für DDoS-Befehle (UDP, TCP und SMTP). Die ursprünglich heruntergeladene Binärdatei wird dann gelöscht, um die Analyse zu erschweren. **Fortinet** betont, dass **Nexcorium** typische Merkmale moderner IoT-Botnets aufweist, die die Ausnutzung von Schwachstellen, Multi-Architektur-Unterstützung und Persistenzmechanismen kombiniert. Seine Nutzung bekannter Exploits wie **CVE-2017-17215** und umfangreiche Brute-Force-Fähigkeiten erhöhen seine Infektionsreichweite. ### TP-Link Router-Schwachstelle (CVE-2023-33538) Ausnutzungsversuche **Unit 42** hat aktive Scans festgestellt, die auf **CVE-2023-33538** (CVSS-Score: 8.8) abzielen, eine Command-Injection-Schwachstelle, die End-of-Life **TP-Link**-WLAN-Router betrifft. Obwohl die beobachteten Angriffe fehlerhaft waren, ist die zugrundeliegende Schwachstelle bestätigt. Diese Lücke wurde im Juni 2025 in das Known Exploited Vulnerabilities (KEV) Katalog der **CISA** aufgenommen und betrifft die folgenden Modelle: * TL-WR940N v2 und v4 * TL-WR740N v1 und v2 * TL-WR841N v8 und v10 Die Forscher Asher Davila, Malav Vyas und Chris Navarrete von **Unit 42** erklärten, dass für eine erfolgreiche Ausnutzung eine Authentifizierung an der Weboberfläche des Routers erforderlich ist. Die Angriffe versuchen, eine **Mirai**-ähnliche Botnet-Malware einzusetzen, die auf "Condi" verweist. Die Malware kann sich selbst aktualisieren und als Webserver fungieren, um die Infektion zu verbreiten. ### Abhilfemaßnahmen und Empfehlungen Da die betroffenen **TP-Link**-Geräte nicht mehr unterstützt werden, sollten Benutzer sie durch neuere Modelle ersetzen und die Verwendung von Standardanmeldedaten vermeiden. **Unit 42** warnt davor, dass Standardanmeldedaten in IoT-Geräten ein erhebliches Sicherheitsrisiko darstellen und authentifizierte Schwachstellen zu kritischen Eintrittspunkten für Angreifer machen.