Hơn 134 triệu lượt tấn công các thiết bị IoT Realtek bởi lỗ hổng bảo mật

Các nhà nghiên cứu bảo mật đang cảnh báo về sự gia tăng đột biến các nỗ lực khai thác tấn công lỗ hổng bảo mật thực thi từ xa nghiêm trọng trong các thiết bị IoT của Realtek (Realtek Jungle SDK) kể từ đầu tháng 8 năm 2022.

Theo Palo Alto Networks số 42, chiến dịch đang diễn ra được cho là đã ghi nhận đến hơn 134 triệu lượt nỗ lực khai thác tính đến tháng 12 năm 2022, với 97% các cuộc tấn công đã xảy ra trong 4 tháng qua.

Gần 50% các cuộc tấn công bắt nguồn từ Hoa Kỳ (48,3%), tiếp theo là Việt Nam (17,8%), Nga (14,6%), Hà Lan (7,4%), Pháp (6,4%), Đức (2,3%0 và Luxembourg (1.6%).

Hơn nữa, 95% các cuộc tấn công tận dụng lỗ hổng bảo mật bắt nguồn từ Nga đã nhắm vào các tổ chức ở Úc.

Các nhà nghiên cứu bảo mật cho biết trong một báo cáo : “Nhiều cuộc tấn công mà chúng tôi quan sát được đã cố gắng phát tán phần mềm độc hại để lây nhiễm các thiết bị IoT dễ bị tổn thương”, đồng thời cho biết thêm “các nhóm đe dọa đang sử dụng lỗ hổng này để thực hiện các cuộc tấn công quy mô lớn vào các thiết bị thông minh trên khắp thế giới”.

Lỗ hổng được đề cập là CVE-2021-35394 (điểm CVSS: 9,8), một bộ tràn bộ đệm và một lỗi chèn lệnh tùy ý có thể được vũ khí hóa để thực thi mã tùy ý với mức đặc quyền cao nhất và chiếm lấy các thiết bị bị ảnh hưởng.

Các vấn đề đã được tiết lộ bởi ONEKEY (trước đây là IoT Inspector) vào tháng 8 năm 2021. Lỗ hổng ảnh hưởng đến nhiều loại thiết bị từ D-Link, LG, Belkin, Belkin, ASUS và NETGEAR.

Chuyên gia bảo mật cho biết họ đã phát hiện 3 lượt tải khác nhau phân phối do khai thác lỗ hổng:

Tập lệnh thực thi lệnh trình bao trên máy chủ được nhắm mục tiêu để tải xuống phần mềm độc hại bổ sung

Một lệnh được đưa vào để ghi một tải trọng nhị phân vào một tệp và thực thi nó, đồng thời

Một lệnh được chèn trực tiếp khởi động lại máy chủ được nhắm mục tiêu để gây ra tình trạng từ chối dịch vụ (DoS)

Cũng được phân phối thông qua việc lạm dụng CVE-2021-35394 là các mạng botnet đã biết như Mirai, Gafgyt và Mozi, cũng như một mạng botnet tấn công từ chối dịch vụ (DDoS) phân tán dựa trên Golang mới có tên là RedGoBot.

Chiến dịch RedGoBot lần đầu tiên được phát hiện vào tháng 9 năm 2022, liên quan đến việc loại bỏ một tập lệnh shell được thiết kế để tải xuống máy khách botnet phù hợp với nhiều cấu trúc CPU khác nhau. Phần mềm độc hại này sau khi được khởi chạy sẽ trang bị các tập lệnh của hệ điều hành và thực hiện các cuộc tấn công DDoS.

Lần phát hiện này một lần nữa nhấn mạnh tầm quan trọng của việc cập nhật phần mềm kịp thời để tránh các mối đe doạ tiềm ẩn.

Các nhà nghiên cứu bảo mật kết luận rằng : Sự gia tăng của các cuộc tấn công này tận dụng lỗ hổng bảo mật CVE-2021-35394 cho thấy các tác nhân đe doạ đang nhắm đến các lỗ hỗng trong chuỗi cung ứng, điều mà những người dùng thiết bị bình thường khó có thể xác định ra và khắc phục.

Hương – Theo TheHackerNews