Realtek 漏洞遭利用:物联网设备受攻击次数超过1.34亿次
编译:代码卫士
安全研究员提醒称,自2022年8月以来,对Realtek Jungle SDK中严重远程代码执行漏洞的利用尝试急剧增长。
Palo Alto Networks 公司的Unit 42团队指出,正在发生的攻击活动自2022年12月起就已达到创纪录的1.34亿次利用尝试,而97%的攻击活动发生在过去的四个月里。其中近50%的攻击活动源自美国 (48.3%)、越南 (17.8%)、俄罗斯 (14.6%)、荷兰 (7.4%)、法国 (6.4%)、德国 (2.3%) 以及卢森堡 (1.6%)。
另外,95%的攻击利用排除了位于澳大利亚的组织机构,“我们观察到的很多攻击活动试图传播恶意软件以感染易受攻击的物联网设备。威胁组织正在利用该漏洞在全球的智能设备上执行大规模攻击活动。”
该漏洞是CVE-2021-35394(CVSS评分9.8),它是一系列缓冲区溢出漏洞以及一个任意命令注入漏洞,后者可被用于以最高权限执行任意代码并接管受影响设备。这些漏洞由ONEKEY公司在2021年8月披露,影响D-Link、LG、Belkin、华硕和NETGEAR厂商的大量设备。
研究人员指出,从对该漏洞的在野利用中发现了三种不同的payload:
一个脚本在目标服务器上执行shell命令,以下载其它恶意软件;
一个注入命令在文件中写入一个二进制payload并执行;以及
一个注入命令直接重启目标服务器,引发拒绝服务条件。
通过利用该漏洞,攻击者还传播多个已知僵尸网络如Mirai、Gafgyt和Mozi,以及一个新的基于Golang的分布式拒绝服务僵尸网络RedGoBot。RedGoBot 攻击活动首次出现在2022年9月,涉及释放shell脚本以下载为不同CPU架构定制的僵尸网络客户端。一旦启动,该恶意软件就可运行操作系统命令并发动DDoS 攻击。
这些研究成果再次强调了及时更新软件以避免暴露到潜在威胁中的重要性。研究人员表示,“利用CVE-2021-35394的攻击活动激增表明,威胁行动者对于供应链漏洞的兴趣陡增,而一般用户很难识别并缓解这类漏洞。这些漏洞使得受影响用户难以识别正遭利用的特定下游产品。”
https://thehackernews.com/2023/01/realtek-vulnerability-under-attack-134.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。