Un aumento significativo en los intentos de explotación dirigidos a los DVRs TVT NVMS9000 ha sido detectado, alcanzando su punto máximo el 3 de abril de 2025, con más de 2,500 IPs únicas escaneando dispositivos vulnerables.
¿Qué está pasando con los DVRs TVT NVMS9000? ️
Los ataques intentan explotar una vulnerabilidad de divulgación de información que fue revelada por un aviso SSD en mayo de 2024. Este fallo permite obtener las credenciales de administrador en texto claro mediante un único payload TCP.
La explotación de esta vulnerabilidad permite a los atacantes eludir la autenticación, lo que les da la posibilidad de ejecutar comandos administrativos en el dispositivo sin restricciones.
Según la plataforma de monitoreo de amenazas GreyNoise, esta actividad parece estar vinculada a un malware basado en Mirai, que busca incorporar estos dispositivos vulnerables a su botnet.
¿Qué hacen los atacantes con los DVRs infectados?
Una vez que los dispositivos son comprometidos, los atacantes los utilizan típicamente para:
- Proxies de tráfico malicioso
- Minería de criptomonedas
- Lanzar ataques DDoS distribuidos
En el último mes, GreyNoise ha registrado más de 6,600 IPs distintas asociadas con esta actividad, todas confirmadas como maliciosas y no falsificables.
La mayoría de los ataques provienen de Taiwán, Japón y Corea del Sur, mientras que los dispositivos atacados se encuentran principalmente en EE.UU., Reino Unido y Alemania.
¿Cómo protegerse de los ataques?
Los DVRs TVT NVMS9000, fabricados por la empresa TVT Digital Technology Co. Ltd. de Shenzhen, son utilizados principalmente en sistemas de seguridad y vigilancia para grabar, almacenar y gestionar imágenes de cámaras de seguridad.
Debido a que estos dispositivos están conectados a Internet, históricamente han sido un blanco fácil para diversas botnets, algunas de las cuales explotan fallos de hasta cinco años de antigüedad.
Pasos recomendados
- Actualizar el firmware a la versión 1.3.4 o posterior para corregir la vulnerabilidad. Si la actualización no es posible, se recomienda:
- Restringir el acceso público a los puertos del DVR.
- Bloquear las solicitudes entrantes desde las IPs maliciosas mencionadas por GreyNoise.
- Detectar señales de infección: Si notas aumentos de tráfico saliente, rendimiento lento, caídas frecuentes, altos consumos de CPU/memoria o configuraciones alteradas, puede ser señal de que el dispositivo está comprometido.
- Actuar rápidamente: Si detectas signos de infección, desconecta el DVR, realiza un restablecimiento de fábrica, actualiza a la última versión del firmware y aísla el dispositivo de la red principal.
Conclusión
El último lanzamiento de firmware para el NVMS9000 fue en 2018, por lo que no está claro si los dispositivos siguen siendo soportados. Si no puedes actualizar, la seguridad de tu red podría estar en peligro.
Mantén el firmware actualizado y monitorea continuamente cualquier comportamiento sospechoso para proteger tus sistemas de vigilancia.