Hơn 134 triệu lượt tấn công các thiết bị IoT Realtek bởi lỗ hổng bảo mật

www.tuoitre.vn -   30/01/2023 08:00:00 602

Các nhà nghiên cứu bảo mật đang cảnh báo về sự gia tăng đột biến các nỗ lực khai thác tấn công lỗ hổng bảo mật thực thi từ xa nghiêm trọng trong các thiết bị IoT của Realtek (Realtek Jungle SDK) kể từ đầu tháng 8 năm 2022.

Hơn 134 triệu lượt tấn công các thiết bị IoT Realtek bởi lỗ hổng bảo mật

Theo Palo Alto Networks số 42, chiến dịch đang diễn ra được cho là đã ghi nhận đến hơn 134 triệu lượt nỗ lực khai thác tính đến tháng 12 năm 2022, với 97% các cuộc tấn công đã xảy ra trong 4 tháng qua.

Gần 50% các cuộc tấn công bắt nguồn từ Hoa Kỳ (48,3%), tiếp theo là Việt Nam (17,8%), Nga (14,6%), Hà Lan (7,4%), Pháp (6,4%), Đức (2,3%0 và Luxembourg (1.6%).

Hơn nữa, 95% các cuộc tấn công tận dụng lỗ hổng bảo mật bắt nguồn từ Nga đã nhắm vào các tổ chức ở Úc.

Các nhà nghiên cứu bảo mật cho biết trong một báo cáo : “Nhiều cuộc tấn công mà chúng tôi quan sát được đã cố gắng phát tán phần mềm độc hại để lây nhiễm các thiết bị IoT dễ bị tổn thương”, đồng thời cho biết thêm “các nhóm đe dọa đang sử dụng lỗ hổng này để thực hiện các cuộc tấn công quy mô lớn vào các thiết bị thông minh trên khắp thế giới”.

Lỗ hổng được đề cập là CVE-2021-35394 (điểm CVSS: 9,8), một bộ tràn bộ đệm và một lỗi chèn lệnh tùy ý có thể được vũ khí hóa để thực thi mã tùy ý với mức đặc quyền cao nhất và chiếm lấy các thiết bị bị ảnh hưởng.

Các vấn đề đã được tiết lộ bởi ONEKEY (trước đây là IoT Inspector) vào tháng 8 năm 2021. Lỗ hổng ảnh hưởng đến nhiều loại thiết bị từ D-Link, LG, Belkin, Belkin, ASUS và NETGEAR.

Chuyên gia bảo mật cho biết họ đã phát hiện 3 lượt tải khác nhau phân phối do khai thác lỗ hổng:

Tập lệnh thực thi lệnh trình bao trên máy chủ được nhắm mục tiêu để tải xuống phần mềm độc hại bổ sung

Một lệnh được đưa vào để ghi một tải trọng nhị phân vào một tệp và thực thi nó, đồng thời

Một lệnh được chèn trực tiếp khởi động lại máy chủ được nhắm mục tiêu để gây ra tình trạng từ chối dịch vụ (DoS)

Cũng được phân phối thông qua việc lạm dụng CVE-2021-35394 là các mạng botnet đã biết như Mirai, Gafgyt và Mozi, cũng như một mạng botnet tấn công từ chối dịch vụ (DDoS) phân tán dựa trên Golang mới có tên là RedGoBot.

Chiến dịch RedGoBot lần đầu tiên được phát hiện vào tháng 9 năm 2022, liên quan đến việc loại bỏ một tập lệnh shell được thiết kế để tải xuống máy khách botnet phù hợp với nhiều cấu trúc CPU khác nhau. Phần mềm độc hại này sau khi được khởi chạy sẽ trang bị các tập lệnh của hệ điều hành và thực hiện các cuộc tấn công DDoS.

Lần phát hiện này một lần nữa nhấn mạnh tầm quan trọng của việc cập nhật phần mềm kịp thời để tránh các mối đe doạ tiềm ẩn.

Các nhà nghiên cứu bảo mật kết luận rằng : Sự gia tăng của các cuộc tấn công này tận dụng lỗ hổng bảo mật CVE-2021-35394 cho thấy các tác nhân đe doạ đang nhắm đến các lỗ hỗng trong chuỗi cung ứng, điều mà những người dùng thiết bị bình thường khó có thể xác định ra và khắc phục.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Nhiều trang web chống virus giả mạo này ...

31/05/2024 08:00:00 142
Các chuyên gia bảo mật đã quan sát thấy các tác nhân đe dọa sử dụng các trang web giả mạo giả dạng g...

Top mười từ khóa trên Google không nên t...

31/05/2024 12:00:00 116
Dưới đây là những từ khóa được khuyến cáo không nên tìm kiếm trên Google.

Các nhà nghiên cứu phát hiện hoạt động k...

30/05/2024 08:00:00 115
Các nhà nghiên cứu an ninh mạng đã cảnh báo rằng nhiều lỗ hổng bảo mật có mức độ nghiêm trọng cao tr...

Nội dung của người dùng sẽ bị Facebook t...

30/05/2024 12:00:00 101
Nội dung công khai của người dùng – không phải tin nhắn riêng tư – sẽ được Meta sử dụng để đào tạo v...

Microsoft cảnh báo về sự gia tăng các cu...

29/05/2024 08:00:00 106
Microsoft đã nhấn mạnh sự cần thiết phải bảo mật các thiết bị công nghệ vận hành (OT) có kết nối int...

Elon Musk tố dữ liệu người dùng trên Wha...

29/05/2024 12:00:00 69
Elon Musk tuyên bố rằng WhatsApp xuất tất cả dữ liệu người dùng mỗi đêm, vi phạm quyền riêng tư nghi...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ