Ngày 30 tháng 1 năm 2023Ravie LakshmananInternet vạn vật / Phần mềm độc hại
Các nhà nghiên cứu đang cảnh báo về sự gia tăng đột biến các nỗ lực khai thác vũ khí hóa lỗ hổng thực thi mã từ xa quan trọng trong Realtek Jungle SDK kể từ đầu tháng 8 năm 2022.
Theo Đơn vị 42 của Palo Alto Networks, chiến dịch đang diễn ra được cho là đã ghi nhận 134 triệu nỗ lực khai thác tính đến tháng 12 năm 2022, với 97% các cuộc tấn công xảy ra trong 4 tháng qua.
Gần 50% các cuộc tấn công bắt nguồn từ Mỹ (48,3%), tiếp theo là Việt Nam (17,8%), Nga (14,6%), Hà Lan (7,4%), Pháp (6,4%), Đức (2,3%0 và Lúc-xăm-bua (1,6%).
Hơn nữa, 95% các cuộc tấn công tận dụng lỗ hổng bảo mật bắt nguồn từ Nga đã nhắm vào các tổ chức ở Úc.
Các nhà nghiên cứu của Đơn vị 42 cho biết trong một báo cáo: “Nhiều cuộc tấn công mà chúng tôi quan sát được đã cố gắng phát tán phần mềm độc hại để lây nhiễm các thiết bị IoT dễ bị tổn thương”, đồng thời cho biết thêm “các nhóm đe dọa đang sử dụng lỗ hổng này để thực hiện các cuộc tấn công quy mô lớn vào các thiết bị thông minh trên khắp thế giới”.
Lỗ hổng được đề cập là CVE-2021-35394 (điểm CVSS: 9,8), một bộ tràn bộ đệm và một lỗi chèn lệnh tùy ý có thể được vũ khí hóa để thực thi mã tùy ý với mức đặc quyền cao nhất và chiếm lấy các thiết bị bị ảnh hưởng.
Các vấn đề đã được tiết lộ bởi ONEKEY (trước đây là IoT Inspector) vào tháng 8 năm 2021. Lỗ hổng ảnh hưởng đến nhiều loại thiết bị từ D-Link, LG, Belkin, Belkin, ASUS và NETGEAR.
Đơn vị 42 cho biết họ đã phát hiện ra ba loại tải trọng khác nhau được phân phối do khai thác tự nhiên lỗ hổng –
Một tập lệnh thực thi lệnh shell trên máy chủ được nhắm mục tiêu để tải xuống phần mềm độc hại bổ sung Một lệnh được chèn ghi tải trọng nhị phân vào một tệp và thực thi nó, và Một lệnh được chèn trực tiếp khởi động lại máy chủ được nhắm mục tiêu để gây ra tấn công từ chối dịch vụ (DoS) điều kiện
Cũng được phân phối thông qua việc lạm dụng CVE-2021-35394 là các mạng botnet đã biết như Mirai, Gafgyt và Mozi, cũng như một mạng botnet tấn công từ chối dịch vụ (DDoS) phân tán dựa trên Golang mới có tên là RedGoBot.
Lần đầu tiên được phát hiện vào tháng 9 năm 2022, chiến dịch RedGoBot liên quan đến việc loại bỏ một tập lệnh shell được thiết kế để tải xuống một số máy khách botnet phù hợp với các kiến trúc CPU khác nhau. Phần mềm độc hại, sau khi khởi chạy, được trang bị để chạy các lệnh của hệ điều hành và thực hiện các cuộc tấn công DDoS.
Phát hiện này một lần nữa nhấn mạnh tầm quan trọng của việc cập nhật phần mềm kịp thời để tránh tiếp xúc với các mối đe dọa tiềm tàng.
Các nhà nghiên cứu kết luận: “Sự gia tăng của các cuộc tấn công tận dụng CVE-2021-35394 cho thấy các tác nhân đe dọa rất quan tâm đến các lỗ hổng trong chuỗi cung ứng, điều mà người dùng bình thường có thể khó xác định và khắc phục”. “Những vấn đề này có thể gây khó khăn cho người dùng bị ảnh hưởng trong việc xác định các sản phẩm hạ nguồn cụ thể đang bị khai thác.”