ΑρχικήsecurityRealtek SDK ευπάθεια χρησιμοποιήθηκε σε 134 εκατ. επιθέσεις

Realtek SDK ευπάθεια χρησιμοποιήθηκε σε 134 εκατ. επιθέσεις

Το δεύτερο εξάμηνο του 2022, κακόβουλοι χάκερ εκμεταλλεύτηκαν μια κρίσιμη ευπάθεια απομακρυσμένης εκτέλεσης κώδικα στο Realtek Jungle SDK για να εξαπολύσουν 134 εκατομμύρια επιθέσεις που απευθύνονταν σε έξυπνες συσκευές.

Αυτή η ευπάθεια, η οποία έχει υψηλή βαθμολογία επικινδυνότητας (9,8) αξιοποιήθηκε από διάφορους εγκληματίες του κυβερνοχώρου.

Από τον Αύγουστο έως τον Οκτώβριο του 2021, η παρακολούθηση από την Palo Alto Networks αποκάλυψε ένα σημαντικό ποσό δραστηριότητας που σχετίζεται με αυτή την ευπάθεια, αντιπροσωπεύοντας πάνω από το 40% όλων των περιστατικών.

Δείτε επίσης: Riot Games hack: Σε δημοπρασία ο source code για το League of Legends

Malware έκανε exploit Realtek SDK ευπάθεια και οδήγησε σε 134 εκατ. παραβιάσεις

Υψηλά επίπεδα της εκμετάλλευσης
Από τον Σεπτέμβριο του 2022, ένα αρκετά “μεγάλο” botnet malware με την ονομασία “RedGoBot” εμφανίστηκε με στόχο τις συσκευές IoT ευάλωτες στο CVE-2021-35394. Οι ερευνητές της Unit 42, ομάδας πληροφοριών απειλών της Palo Alto Network, παρατήρησαν ότι η εκμετάλλευση της ευπάθειας αυτής συνεχίστηκε όλο τον Δεκεμβρίου.

Ως αποτέλεσμα αυτών των επιθέσεων παραδόθηκαν τρία διαφορετικά payloads:

  1. ένα script που εκτελεί μια shell εντολή στον server-στόχο για τη λήψη του malware.
  2. μια injected εντολή που γράφει ένα binary payload σε ένα αρχείο και το εκτελεί
  3. μια injected εντολή που κάνει reboot τον server

Πολλές από αυτές τις επιθέσεις προέρχονται από malware «οικογένειες» όπως οι Mirai, Gafgyt, και Mozi.
Τον Απρίλιο του 2022, ένα botnet με την ονομασία Fodcha βρέθηκε να χρησιμοποιεί μια ευπάθεια γνωστή ως CVE-2021-35394 για να εξαπολύει επιθέσεις DDoS.

Τον Σεπτέμβριο το RedGoBot χρησιμοποίησε επίσης την ευπάθεια αυτή για σκοπούς DDoS επιθέσεων.
Το botnet μπορεί να εκτελέσει επιθέσεις DDoS στα πρωτόκολλα HTTP, ICMP, TCP, UDP, VSE, OpenVPN και υποστηρίζει διάφορες μεθόδους «flooding».

Οι μισές από τις επιθέσεις μέσω της CVE-2021-35394 ευπάθειας προέρχονται από τις Ηνωμένες Πολιτείες βάση των καταγραφών της Unit 42 – δεν μπορούμε να είμαστε σίγουροι λόγω της χρήσης των VPN και proxies, μιας και οι απειλητικοί παράγοντες έχουν μια προτίμηση στις αμερικάνικες IP.

Malware έκανε exploit Realtek SDK ευπάθεια και οδήγησε σε 134 εκατ. παραβιάσεις

Λεπτομέρειες για το Realtek SDK exploit
Οι εκδόσεις 2.x έως 3.4.14B του Realtek Jungle SDK περιλαμβάνουν μια σημαντική ευπάθεια (CVSS v3: 9.8) με την ονομασία “CVE-2021-35394”, η οποία επιτρέπει σε απομακρυσμένους, μη πιστοποιημένους χρήστες να εκτελούν αυθαίρετο κώδικα.

Η Realtek διόρθωσε το ελάττωμα στις 15 Αυγούστου 2021, μαζί με άλλα critical σφάλματα, όπως το CVE-2021-35395, το οποίο αποτέλεσε εκτεταμένο στόχο botnets που ενσωμάτωσαν exploits λίγες μόλις ημέρες μετά την αποκάλυψή του, και μόλις τον περασμένο Δεκέμβριο.

Τα chipsets της Realtek είναι πολύ διαδεδομένα στον «κόσμο του IoT».
Παρόλο που η ταϊβανέζικη κατασκευαστική βγάζει updates ασφαλείας για να διορθώσει γρήγορα τα όποια ζητήματα υπάρξουν, χρειάζεται χρόνος για να φτάσουν οι αναβαθμίσεις στους τελικούς χρήστες λόγω δυσκολιών του supply chain.

Επιπλέον, οι άνθρωποι συχνά αγνοούν τις ενημερώσεις του firmware, ακόμη και όταν είναι διαθέσιμες από τους ίδιους τους κατασκευαστές, και τείνουν παραμελούν τις IoT συσκευές τους.

Δείτε επίσης: Η παραβίαση δεδομένων της Zacks Investment Research επηρεάζει 820.000 πελάτες

malware Realtek SDK ευπάθεια exploit

Το γεγονός ότι έχει αυξηθεί πρόσφατα η εκμετάλλευση της ευπάθειας CVE-2021-35394, περισσότερο από ένα χρόνο μετά την κυκλοφορία των διορθώσεων της Realtek, δείχνει ότι οι προσπάθειες για την επίλυση του προβλήματος είναι πιο αργές.

Τόσο οι πωλητές συσκευών όσο και οι τελικοί χρήστες φέρουν κοινή ευθύνη για την κατάσταση αυτή.
Ορισμένες συσκευές που είναι επιρρεπείς σε τέτοιου είδους επιθέσεις ενδέχεται να μην λαμβάνουν πλέον υποστήριξη.
Σε ορισμένες περιπτώσεις, οι κατασκευαστές ενδέχεται να έχουν βγάλει κάποιο update με διορθώσεις, αλλά οι χρήστες δεν τo εγκατέστησαν ποτέ. Τότε, θα πρέπει να προσδιορίσουν αν οι συσκευές τους έχουν επηρεαστεί και αν υπάρχουν διαθέσιμες ενημερώσεις για την αντιμετώπιση της CVE-2021-35394 ευπάθειας.

Εάν μια συσκευή έχει ήδη παραβιαστεί, συνιστάται να την επαναφέρετε στις αρχικές της ρυθμίσεις, να δημιουργήσετε έναν ισχυρό admin κωδικό πρόσβασης και στη συνέχεια, να εγκαταστήσετε τυχόν διαθέσιμες firmware ενημερώσεις.

Προβλέπεται ότι η “χρήση” της CVE-2021-35394 ευπάθειας θα παραμείνει σε υψηλά επίπεδα και για το πρώτο εξάμηνο του 2023, καθώς οι δυσκολίες στην αντιμετώπιση των προβλημάτων ασφαλείας σε όλο το supply chain οδηγούν σε μεγάλες καθυστερήσεις.

Πηγή πληροφοριών: bleepingcomputer.com

SecNews
SecNewshttps://www.secnews.gr
In a world without fences and walls, who need Gates and Windows

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS