新型 Mirai 变种激增！TVT NVMS9000 DVR 漏洞遭大规模利用，全球监控系统面临僵尸网络风险

近期监测数据显示，针对 TVT NVMS9000 型号数字视频录像机 (DVR) 的漏洞利用尝试出现显著高峰。根据威胁监控平台 GreyNoise 的数据，该攻击活动在 2025 年 4 月 3 日达到顶峰，当天有超过 2500 个独立 IP 地址在互联网上扫描易受攻击的设备。

核心技术细节：

• 目标漏洞
  
  此次攻击利用的是一个信息泄露漏洞。该漏洞最早由 SSD Advisory 在 2024 年 5 月披露，并公开了完整的利用细节：攻击者仅需发送一个精心构造的特定网络请求（一个基于 SSD Advisory 公布细节的 TCP 载荷），即可触发漏洞，直接以明文形式检索设备的管理员凭证。
• 利用后果
  
  该漏洞允许攻击者获取明文管理员凭证。攻击者利用这些泄露的凭证即可成功登录设备，从而绕过身份验证机制，并获得设备的完全控制权，能够执行任意管理员级别的命令。
• 攻击归因
  
  GreyNoise 分析认为，这些攻击活动与一个基于 Mirai 的新型恶意软件有关。其主要目的是将易受攻击的 DVR 设备吸纳进其控制的僵尸网络 (Botnet)。
• 僵尸网络用途
  
  被感染设备通常被 Mirai 僵尸网络用于代理恶意流量 (Proxying)、进行加密货币挖掘 (Cryptomining) 或发动分布式拒绝服务 (DDoS) 攻击。值得注意的是，Mirai 类恶意软件通常驻留在设备内存中，重启设备可能暂时清除感染，但只要漏洞未被修复且设备仍暴露于公网，就极有可能被迅速再次扫描和感染。这更凸显了修复漏洞（通过固件升级）或永久性隔离/访问限制的重要性。
• 攻击规模与来源
  
  在过去一个月内，GreyNoise 记录了 6600 个与此活动相关的独立 IP 地址，并确认这些 IP 均为恶意且非伪造 (non-spoofable)。“非伪造”意味着这些攻击源 IP 地址是真实可信的，因此基于这些 IP 列表进行防火墙规则拦截是一种有效的防御手段。 攻击主要源自台湾、日本和韩国，而受攻击设备主要分布在美国、英国和德国。
• 目标设备背景
  
  TVT NVMS9000 DVR 由深圳同为数码科技 (TVT Digital Technology Co., Ltd.) 生产，广泛应用于安防监控系统，负责录制、存储和管理来自摄像头的视频数据。由于 DVR 设备通常需要连接互联网以便远程访问，它们一直是僵尸网络攻击的历史目标。

缓解与修复建议：

1. 固件升级 (首选)
   
   根据 SSD Advisory 的建议，用户应将 DVR 固件升级至 1.3.4 或更高版本以修复此漏洞。
2. 访问限制 (若无法升级)
   
   如果无法进行固件升级，强烈建议：
• 限制 DVR 端口的公网访问
  
  非必要不暴露于互联网。
• 阻止来自 GreyNoise 等威胁情报平台公布的已知恶意 IP 地址列表的入站请求。
3. 感染迹象识别
   
   DVR 设备感染 Mirai 的迹象可能包括：
• 出站流量异常飙升
• 设备性能迟缓
• 频繁崩溃或重启
• 即使在空闲时 CPU/内存占用率也异常高
• 设备配置被篡改
4. 感染后处置
   
   若发现上述迹象，应立即：
• 断开 DVR 的网络连接。
• 执行恢复出厂设置。
• 在安全环境下更新到最新的可用固件。
• 将设备与主网络隔离
  
  例如，将其放置在独立的网络分段（如配置 VLAN 或使用物理隔离的网络），以防止感染扩散至内部网络其他设备，或被攻击者用作渗透内网的跳板。

潜在风险提示：

一个极其令人担忧的问题是，NVMS9000 的最后已知固件发布于 2018 年。这不仅让人质疑供应商是否仍在提供支持，更严峻的是，这可能意味着大量仍在运行的设备实质上已无法通过官方补丁修复此漏洞。在这种情况下，采取网络层面的缓解措施，如严格限制公网访问和部署网络隔离，可能成为唯一有效或长期必要的防护手段。

鉴于此次攻击活动的活跃性、漏洞的严重性以及大量设备可能无法修复的风险，强烈建议各单位和个人用户立即排查所使用的 TVT DVR 设备型号、固件版本及网络暴露情况，并刻不容缓地采取上述缓解与修复建议中的适用措施。日本地区作为主要的攻击来源地之一，相关用户尤其需要提高警惕，保护您的监控系统和网络安全。

原文始发于微信公众号（技术修道场）：新型 Mirai 变种激增！TVT NVMS9000 DVR 漏洞遭大规模利用，全球监控系统面临僵尸网络风险