CVE-2021-35394 ist ein kritischer, Remotecodeausführung Sicherheitslücke, die das Realtek Jungle SDK betrifft.
Bewertet 9.8 auf der CVSS 3.x-Schweregrad- und Metrikskala, Die Schwachstelle wurde von Angreifern in laufenden böswilligen Kampagnen, die im August gestartet wurden, als Waffe genutzt 2022. Laut der Einheit von Palo Alto 42 Forscher, mindestens 134 Millionen Exploit-Versuche wurden bis Dezember letzten Jahres registriert.
Das Team „entdeckte das zwischen August und Oktober 2022, die Anzahl der Angriffe, die versuchen, eine Schwachstelle zur Remotecodeausführung des Realtek Jungle SDK auszunutzen (CVE-2021-35394) entfielen mehr als 40% der Gesamtzahl der Angriffe.“
„Stand Dezember 2022, wir haben beobachtet 134 Millionen Exploit-Versuche insgesamt, die diese Schwachstelle ausnutzen, und über 97% dieser Angriffe ereigneten sich nach Anfang August 2022. Zum Zeitpunkt des Schreibens, der Angriff dauert noch an,“ fügte der Bericht hinzu.
CVE-2021-35394: Was ist bis jetzt bekannt
Gemäß der offiziellen Beschreibung der National Vulnerability Database, Schuld an dem Fehler ist ein Tool namens MP Daemon:
Realtek Jungle SDK Version v2.x bis v3.4.14B bietet ein Diagnosetool namens „MP Daemon’ das wird normalerweise als 'UDPServer’ binär. Die Binärdatei ist von mehreren Schwachstellen durch Speicherbeschädigung und einer willkürlichen Befehlsinjektions-Schwachstelle betroffen, die von entfernten, nicht authentifizierten Angreifern ausgenutzt werden kann.
Bemerkenswert ist, dass CVE-2021-35394 betroffen ist 190 Modelle von Geräten aus 66 Hersteller. Was die hohe Erfolgsquote der Angriffe betrifft, Die Forscher glauben, dass der Fehler von so vielen Bedrohungsakteuren bewaffnet wurde, „weil Probleme in der Lieferkette es für den durchschnittlichen Benutzer schwierig machen können, die betroffenen Produkte zu identifizieren, die ausgenutzt werden“.
Angriffe auf CVE-2021-35394 liefern Malware
Bei den meisten Angriffen, beobachteten die Forscher Malware Zustellversuche gegen anfällige IoT-Geräte. Mit anderen Worten, Angreifer nutzen den Fehler, um großangelegte Angriffe durchzuführen. Denn IoT-Geräte und -Router werden oft von den Sicherheitsroutinen von Unternehmen ausgeschlossen, Viele Geräte und Unternehmen können gefährdet sein, Einheit 42 gewarnt.
Die Analyse zeigt, dass die Malware-Samples der Angriffsversuche aus beliebten Malware-Familien stammen, einschließlich Mirai, Gafgyt und Mozi, sowie ein neues DDoS Botnet geschrieben in Golang namens RedGoBot.
„Wenn Sie bestätigen, dass ein Gerät von der Malware betroffen ist, auf die in diesem Beitrag verwiesen wird, Es ist notwendig, das Gerät auf die Werkseinstellungen zurückzusetzen und die neueste Version seiner Software neu zu installieren," der Bericht abgeschlossen.