研究人員警告說,自 2022 年 8 月開始,利用 Realtek Jungle SDK 中的關鍵遠端程式碼執行漏洞進行攻擊的次數激增。
據 Palo Alto Networks Unit 42 表示,截至 2022 年 12 月,此漏洞已被記錄了 1.34 億次攻擊嘗試,其中 97% 的攻擊發生在近四個月。
近 50% 的攻擊來自美國 (48.3%),其次是越南 (17.8%)、俄羅斯 (14.6%)、荷蘭 (7.4%)、法國 (6.4%)、德國 (2.3%), 和盧森堡(1.6%)。目前95% 的攻擊針對澳洲的企業組織。
Unit 42 說明,許多攻擊企圖遞送惡意軟體給易受攻擊的物聯網設備。駭客組織正在利用這一漏洞對全球智慧設備進行大規模攻擊。此漏洞編號為CVE-2021-35394(CVSS 分數:9.8),一組緩衝區溢出和一個任意命令注入錯誤,可以被武器化,並執行最高權限的任意程式碼,同時接管受影響的設備。
ONEKEY於 2021 年 8 月披露了這些問題。該漏洞影響了來自 D-Link、LG、Belkin、Belkin、ASUS 和 NETGEAR 的設備。
Unit 42發現了三種不同類型的有效載荷:
- 腳本在目標服務器上執行 shell 命令以下載其他惡意軟體
- 將二進制有效負載寫入文件並執行的注入命令,
- 直接重啟目標服務器以導致拒絕服務 (DoS) 情況的注入命令
利用 CVE-2021-35394 傳播的還有Mirai、Gafgyt和Mozi等已知殭屍網路,以及 RedGoBot。RedGoBot 活動於 2022 年 9 月首次被發現,是一種基於 Golang 的DDoS攻擊。一旦被啟動,便可以運行操作系統命令並發動攻擊。
調查結果再次強調了及時更新軟體以避免暴露於潛在威脅的重要性。Unit 42總結,利用 CVE-2021-35394 的攻擊激增表明駭客對供應鏈漏洞非常感興趣。同時一般用戶可能難以識別和修復這些漏洞。
本文轉載自TheHackerNews。