روند افزایشی حملات گسترده RCE با سواستفاده از آسیب‌پذیری Realtek SDK

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir attacks targeting realtek sdk vulnerability ramping up
محققان امنیتی روند افزایشی را در حملاتی که آسیب‌پذیری RCE (Remote Code Execution) در Realtek Jungle SDK که با CVE-2021-35394 شناخته می‌شود را هدف قرار می‌دهند، مشاهده کرده‌اند.

مجموعه Palo Alto Networks درباره افزایش حملات سایبری با هدف قرار دادن CVE-2021-35394 که یک آسیب‌پذیری اجرای کد از راه دور (RCE) در Realtek Jungle SDK است، هشدار داده‌اند.

این آسیب‌پذیری که در آگوست ۲۰۲۱ فاش شد، صد‌ها نوع دستگاه را تحت تاثیر قرار می‌دهد که به تراشه‌های RTL8xxx Realtek متکی هستند، شامل روتر‌ها، گیت‌وی‌های رزیدنشال، دوربین‌های مبتنی بر IP و ریپیتر‌های Wi-Fi از ۶۶ سازنده مختلف، از‌جمله Asus، Belkin، D-Link، Huawei، LG، Logitech، Netgear، ZTE و Zyxel.

این باگ به مهاجمان احراز هویت نشده اجازه می‌دهد تا کد را روی دستگاه‌های آسیب‌پذیر اجرا کنند و کنترل کاملی بر آن‌ها به‌دست آورند.

اولین حملات مشهود در فضای سایبری که CVE-2021-35394 را هدف قرار می‌دادند، چند روز پس از انتشار عمومی جزئیات این باگ مشاهده شدند، و تخمین‌زده می‌شود که یک میلیون دستگاه در آن زمان در معرض حملات قرار‌گرفته‌اند.
takian.ir attacks targeting realtek sdk vulnerability ramping up 2
در گزارشی جدید، Palo Alto Networks نسبت به افزایش حملاتی که سعی در سواستفاده از نقص امنیتی دارند، هشدار داد.

شبکه پالو آلتو گفت : "از دسامبر ٢٠٢٢، در مجموع ١٣٤ میلیون تلاش برای سواستفاده از این آسیب‌پذیری را مشاهده کرده‌ایم، و حدود ٩٧٪ از این حملات پس از آغاز آگوست ٢٠٢٢ رخ داده است. در زمان نگارش این مقاله، حملات همچنان ادامه‌ دارد. "

هدف نهایی بسیاری از حملات مشاهده‌شده، توزیع بدافزار بود، زیرا گروه‌های تهدید، نقص حملات در مقیاس بزرگ را با قصد دستگاه‌های اینترنت اشیا (IoT) هدف قرار می‌دهند، که به طبع بر نیاز سازمان‌ها برای اطمینان از محافظت مناسب از‌این‌دستگاه‌ها تاکید می‌کند.

جستجوی Shodan که توسط محققان امنیتی Palo Alto Networks انجام شد، وجود بیش از ٨٠ مدل دستگاه IoT مختلف از ١٤ فروشنده منحصربه‌فرد را نشان داد که پورت 9034 را باز گذاشته‌اند.

با نگاهی به استقرار‌های متوسط تا بزرگ، محققان دریافتند که دستگاه‌های D-Link محبوب‌ترین دستگاه‌ها برای مهاجمان هستند (٣١ مدل)، که پس‌ از‌ آن LG (٨) و Belkin و Zyxel (هر کدام ٦ مدل) قرار دارند.

به گفته Palo Alto Networks، در‌حالی‌که تامین‌کنندگان تحت تاثیر ممکن است بروزرسانی‌های نرم‌افزاری را برای حل مشکل یا توصیه‌های کاهش مخاطرات برای کاربران خود منتشر کرده باشند، بسیاری از سازمان‌ها همچنان از دستگاه‌های آسیب‌پذیر استفاده می‌کنند.

تا به امروز، محققان سه نوع حمله را مشاهده کردند : یک اسکریپت برای ورود بدافزار از یک مکان راه دور استفاده می‌شود، یک فرمان تزریقی مستقیما payload را روی یک فایل می‌نویسد و آن را اجرا می‌کند، یا یک دستور تزریقی برای ایجاد denial-of-service (DOS) استفاده می‌شود.

بیشتر Payload‌های مخرب مشاهده شده شامل انواع بدافزار Mirai، Gafgyt و Mozi هستند. یک بات نت Distributed-Denial-of-Service (DDoS) مبتنی بر Golang به نام RedGoBot نیز از اوایل سپتامبر ٢٠٢٢ توزیع شده است.

تجزیه‌و‌تحلیل ١٣٤ میلیون سواستفاده مشاهده شده نشان می‌دهد که ٣٠ منطقه منشا حملات بوده‌اند، که ایالات متحده با 48.3 درصد، ویتنام با 17.8 درصد و روسیه با 14.6 درصد در رتبه‌های بعدی قرار دارند.

پالو آلتو در نتیجه‌گیری گزارش خود آورده است : "افزایش حملات با اعمال نفوذ CVE-2021-35394 نشان می‌دهد که عوامل تهدید به آسیب‌پذیری‌های زنجیره تامین علاقه زیادی دارند که شناسایی و اصلاح آن برای کاربر معمولی دشوار است. این مسائل می‌تواند شناسایی محصولات پایین‌دستی خاص که مورد سواستفاده قرار می‌گیرند را برای کاربر آسیب‌دیده دشوار کند. "

برچسب ها: RedGoBot, Gafgyt, ال جی, بلکین, لاجیتک, Belkin, Logitech, LG, Wi-Fi Repeater, IP Camera, Residential Gateway, RTL8xxx Realtek, Realtek SDK, CVE-2021-35394, Realtek Jungle SDK, Cyber Deffence, Realtek, ایسوس, Shodan, ASUS, Mozi, ZTE, هواوی, D-Link, اجرای کد از راه دور, Golang, NETGEAR, Zyxel, RCE, DoS, Mirai, آسیب‌پذیری, Remote Code Execution, Vulnerability, اینترنت اشیا, malware, router, Huawei, دفاع سایبری, تهدیدات سایبری, Cyber Security, IOT, روتر, Botnet, بات نت, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری, news

نوشته شده توسط تیم خبر.

چاپ