Các chuyên gia đã cảnh báo về sự gia tăng đột biến các cuộc tấn công lợi dụng lỗ hổng thực thi mã từ xa nghiêm trọng trong Realtek Jungle SDK kể từ đầu tháng 8 năm 2022.
Theo Unit 42 của Palo Alto Networks chiến dịch đã ghi nhận 134 triệu nỗ lực khai thác tính đến tháng 12 năm 2022, với 97% các cuộc tấn công xảy ra trong 4 gần đây.
Gần 50% các cuộc tấn công bắt nguồn từ Mỹ (48,3%), tiếp theo là Việt Nam (17,8%), Nga (14,6%), Hà Lan (7,4%), Pháp (6,4%), Đức (2,3%0 và Lúc-xăm-bua (1,6%).
Hơn nữa, 95% các cuộc tấn công tận dụng lỗ hổng bảo mật bắt nguồn từ Nga đã nhắm vào các tổ chức ở Úc.
Nhà nghiên cứu của Unit 42 cho biết: “Nhiều cuộc tấn công mà chúng tôi theo dõi được đã cố gắng phát tán phần mềm độc hại vào các thiết bị IoT. Các tác nhân độc hại đã và đang sử dụng lỗ hổng này để hực hiện các cuộc tấn công quy mô lớn vào các thiết bị thông minh trên khắp thế giới”.
CVE-2021-35394 (CVSS: 9,8), một lỗ hổng tràn bộ đệm và chèn lệnh tùy ý có thể bị lợi dụng để thực thi mã tùy ý với mức đặc quyền cao nhất và chiếm lấy các thiết bị bị ảnh hưởng.
Lỗ hổng được tiết lộ bởi ONEKEY (trước đây là IoT Inspector) vào tháng 8 năm 2021. Các lỗ hổng ảnh hưởng đến nhiều loại thiết bị từ D-Link, LG, Belkin, Belkin, ASUS và NETGEAR.
Unit 42 cho biết họ đã phát hiện ba loại tải trọng khác nhau được sử dụng để khai thác lỗ hổng:
– Thực thi lệnh shell trên máy chủ nạn nhân để tải xuống mã độc
– Chèn lệnh để ghi tải trọng nhị phân vào một file thực thi
– Chèn lệnh trực tiếp để restart máy chủ gây ra tình trạng từ chối dịch vụ
Cũng được phân phối thông qua việc lạm dụng CVE-2021-35394 là các mạng botnet đã biết như Mirai, Gafgyt và Mozi, cũng như một mạng botnet tấn công từ chối dịch vụ (DDoS) phân tán dựa trên Golang mang tên RedGoBot.
Lần đầu tiên được phát hiện vào tháng 9 năm 2022, chiến dịch RedGoBot liên quan đến việc loại bỏ một tập lệnh shell được thiết kế để tải xuống một số máy khách botnet phù hợp với các kiến trúc CPU khác nhau. Phần mềm độc hại, sau khi khởi chạy, được trang bị để chạy các lệnh của hệ điều hành và thực hiện các cuộc tấn công DDoS.
Phát hiện này một lần nữa nhấn mạnh tầm quan trọng của việc cập nhật phần mềm kịp thời để tránh tiếp xúc với các mối đe dọa tiềm ẩn.
Các nhà nghiên cứu kết luận: “Sự gia tăng của các cuộc tấn công tận dụng CVE-2021-35394 cho thấy các tác nhân đe dọa rất quan tâm đến các lỗ hổng trong chuỗi cung ứng, điều mà người dùng bình thường có thể khó xác định và khắc phục. Những vấn đề này có thể gây khó khăn cho người dùng bị ảnh hưởng trong việc xác định các thiết bị đang bị tấn công”.
