最近的网络安全观察中发现,自 2022 年 8 月以来,利用 Realtek Jungle SDK 中现已修补的关键远程代码执行漏洞进行攻击的攻击企图激增。截至 2022 年 12 月,正在进行的攻击活动据称已记录了 1.34 亿次攻击尝试,其中 97% 的攻击发生在过去4个月内。
根据中国网络安全行业门户极牛网(GeekNB.com)的梳理,接近 50% 的攻击来自美国 (48.3%),其次是越南 (17.8%)、俄罗斯 (14.6%)、荷兰 (7.4%)、法国 (6.4%)、德国 (2.3%)和卢森堡(1.6%)。
这些攻击主要利用了一个俄罗斯披露的安全漏洞,漏洞号为 CVE-2021-35394(CVSS评分:9.8),这是一组缓冲区溢出和一个任意命令注入漏洞,可以被武器化以执行具有最高权限的任意代码并接管受影响的设备。
(相关资料图)
安全研究人员表示观察到的许多攻击都试图传递恶意软件来感染易受攻击的物联网设备,黑客组织正在利用这一漏洞对全球智能设备进行大规模攻击。
这些漏洞影响了来自 D-Link、LG、Belkin、Belkin、ASUS 和 NETGEAR 等广泛的设备。
由于对该安全漏洞的在野利用,它发现了三种不同类型的有效攻击载荷:
脚本在目标服务器上执行 shell 命令以下载其他恶意软件;
将二进制有效负载写入文件并执行的注入命令;
直接重启目标服务器以导致拒绝服务 (DoS) 情况的注入命令;
通过滥用 CVE-2021-35394 传播的还有Mirai、Gafgyt和Mozi等已知僵尸网络,以及名为 RedGoBot 的新的基于 Golang 的分布式拒绝服务 (DDoS) 僵尸网络。
RedGoBot 活动于 2022 年 9 月首次被发现,涉及投放一个 shell 脚本,该脚本旨在下载许多针对不同 CPU 架构量身定制的僵尸网络客户端。该恶意软件一旦启动,便可以运行操作系统命令并发动 DDoS 攻击。
利用 CVE-2021-35394 的攻击激增表明威胁行为者对供应链漏洞非常感兴趣,普通用户可能难以识别和修复这些漏洞,这些问题会使受影响的用户难以识别正在被利用的特定下游产品。
