روند افزایشی حملات گسترده RCE با سواستفاده از آسیبپذیری Realtek SDK
اخبار داغ فناوری اطلاعات و امنیت شبکه
محققان امنیتی روند افزایشی را در حملاتی که آسیبپذیری RCE (Remote Code Execution) در Realtek Jungle SDK که با CVE-2021-35394 شناخته میشود را هدف قرار میدهند، مشاهده کردهاند.
مجموعه Palo Alto Networks درباره افزایش حملات سایبری با هدف قرار دادن CVE-2021-35394 که یک آسیبپذیری اجرای کد از راه دور (RCE) در Realtek Jungle SDK است، هشدار دادهاند.
این آسیبپذیری که در آگوست ۲۰۲۱ فاش شد، صدها نوع دستگاه را تحت تاثیر قرار میدهد که به تراشههای RTL8xxx Realtek متکی هستند، شامل روترها، گیتویهای رزیدنشال، دوربینهای مبتنی بر IP و ریپیترهای Wi-Fi از ۶۶ سازنده مختلف، ازجمله Asus، Belkin، D-Link، Huawei، LG، Logitech، Netgear، ZTE و Zyxel.
این باگ به مهاجمان احراز هویت نشده اجازه میدهد تا کد را روی دستگاههای آسیبپذیر اجرا کنند و کنترل کاملی بر آنها بهدست آورند.
اولین حملات مشهود در فضای سایبری که CVE-2021-35394 را هدف قرار میدادند، چند روز پس از انتشار عمومی جزئیات این باگ مشاهده شدند، و تخمینزده میشود که یک میلیون دستگاه در آن زمان در معرض حملات قرارگرفتهاند.
در گزارشی جدید، Palo Alto Networks نسبت به افزایش حملاتی که سعی در سواستفاده از نقص امنیتی دارند، هشدار داد.
شبکه پالو آلتو گفت : "از دسامبر ٢٠٢٢، در مجموع ١٣٤ میلیون تلاش برای سواستفاده از این آسیبپذیری را مشاهده کردهایم، و حدود ٩٧٪ از این حملات پس از آغاز آگوست ٢٠٢٢ رخ داده است. در زمان نگارش این مقاله، حملات همچنان ادامه دارد. "
هدف نهایی بسیاری از حملات مشاهدهشده، توزیع بدافزار بود، زیرا گروههای تهدید، نقص حملات در مقیاس بزرگ را با قصد دستگاههای اینترنت اشیا (IoT) هدف قرار میدهند، که به طبع بر نیاز سازمانها برای اطمینان از محافظت مناسب ازایندستگاهها تاکید میکند.
جستجوی Shodan که توسط محققان امنیتی Palo Alto Networks انجام شد، وجود بیش از ٨٠ مدل دستگاه IoT مختلف از ١٤ فروشنده منحصربهفرد را نشان داد که پورت 9034 را باز گذاشتهاند.
با نگاهی به استقرارهای متوسط تا بزرگ، محققان دریافتند که دستگاههای D-Link محبوبترین دستگاهها برای مهاجمان هستند (٣١ مدل)، که پس از آن LG (٨) و Belkin و Zyxel (هر کدام ٦ مدل) قرار دارند.
به گفته Palo Alto Networks، درحالیکه تامینکنندگان تحت تاثیر ممکن است بروزرسانیهای نرمافزاری را برای حل مشکل یا توصیههای کاهش مخاطرات برای کاربران خود منتشر کرده باشند، بسیاری از سازمانها همچنان از دستگاههای آسیبپذیر استفاده میکنند.
تا به امروز، محققان سه نوع حمله را مشاهده کردند : یک اسکریپت برای ورود بدافزار از یک مکان راه دور استفاده میشود، یک فرمان تزریقی مستقیما payload را روی یک فایل مینویسد و آن را اجرا میکند، یا یک دستور تزریقی برای ایجاد denial-of-service (DOS) استفاده میشود.
بیشتر Payloadهای مخرب مشاهده شده شامل انواع بدافزار Mirai، Gafgyt و Mozi هستند. یک بات نت Distributed-Denial-of-Service (DDoS) مبتنی بر Golang به نام RedGoBot نیز از اوایل سپتامبر ٢٠٢٢ توزیع شده است.
تجزیهوتحلیل ١٣٤ میلیون سواستفاده مشاهده شده نشان میدهد که ٣٠ منطقه منشا حملات بودهاند، که ایالات متحده با 48.3 درصد، ویتنام با 17.8 درصد و روسیه با 14.6 درصد در رتبههای بعدی قرار دارند.
پالو آلتو در نتیجهگیری گزارش خود آورده است : "افزایش حملات با اعمال نفوذ CVE-2021-35394 نشان میدهد که عوامل تهدید به آسیبپذیریهای زنجیره تامین علاقه زیادی دارند که شناسایی و اصلاح آن برای کاربر معمولی دشوار است. این مسائل میتواند شناسایی محصولات پاییندستی خاص که مورد سواستفاده قرار میگیرند را برای کاربر آسیبدیده دشوار کند. "
برچسب ها: RedGoBot, Gafgyt, ال جی, بلکین, لاجیتک, Belkin, Logitech, LG, Wi-Fi Repeater, IP Camera, Residential Gateway, RTL8xxx Realtek, Realtek SDK, CVE-2021-35394, Realtek Jungle SDK, Cyber Deffence, Realtek, ایسوس, Shodan, ASUS, Mozi, ZTE, هواوی, D-Link, اجرای کد از راه دور, Golang, NETGEAR, Zyxel, RCE, DoS, Mirai, آسیبپذیری, Remote Code Execution, Vulnerability, اینترنت اشیا, malware, router, Huawei, دفاع سایبری, تهدیدات سایبری, Cyber Security, IOT, روتر, Botnet, بات نت, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری, news