CVE-2021-35394 es un crítico, ejecución remota de código Vulnerabilidad de seguridad que afecta a Realtek Jungle SDK.
Calificado 9.8 en la escala CVSS 3.x Severity and Metrics, la vulnerabilidad ha sido armada por atacantes en campañas maliciosas en curso que se iniciaron en agosto 2022. Según la Unidad de Palo Alto 42 investigadores, Al menos 134 millones de intentos de explotación se han registrado hasta diciembre del año pasado.
El equipo “descubrió que entre agosto y octubre 2022, el número de ataques que intentan explotar una vulnerabilidad de ejecución remota de código Realtek Jungle SDK (CVE-2021-35394) representó más de 40% del número total de ataques”.
“A partir de diciembre 2022, hemos observado 134 millones de intentos de explotación en total aprovechando esta vulnerabilidad, y acerca 97% de estos ataques ocurrieron después de principios de agosto 2022. En el momento de escribir, el ataque sigue en curso,"Agregó el informe.
CVE-2021-35394: Lo que se sabe hasta ahora
Según la descripción oficial proporcionada por National Vulnerability Database, la culpa de la falla es una herramienta llamada MP Daemon:
Realtek Jungle SDK versión v2.x hasta v3.4.14B proporciona una herramienta de diagnóstico llamada 'MP Daemon’ que generalmente se compila como 'UDPServer’ binario. El binario se ve afectado por múltiples vulnerabilidades de corrupción de memoria y una vulnerabilidad de inyección de comando arbitraria que puede ser aprovechada por atacantes remotos no autenticados..
Cabe destacar que CVE-2021-35394 afecta 190 modelos de dispositivos de 66 fabricantes. En cuanto a la alta tasa de éxito de los ataques, los investigadores creen que la falla ha sido utilizada como arma por tantos actores de amenazas "porque los problemas de la cadena de suministro pueden dificultar que el usuario promedio identifique los productos afectados que están siendo explotados".
Los ataques contra CVE-2021-35394 entregan malware
En la mayoría de los ataques, los investigadores observaron el malware intentos de entrega contra dispositivos IoT vulnerables. En otras palabras, los atacantes están utilizando la falla para realizar ataques a gran escala. Porque los dispositivos y enrutadores de IoT a menudo se excluyen de las rutinas de seguridad de las organizaciones., muchos dispositivos y empresas pueden estar en riesgo, Unidad 42 prevenido.
El análisis revela que las muestras de malware de los intentos de ataque provienen de familias de malware populares., incluyendo Mirai, Gafgyt y Mozi, así como un nuevo DDoS botnet escrito en Golang llamado RedGoBot.
“Si confirma que un dispositivo se ha visto afectado por el malware al que se hace referencia en esta publicación, es necesario aplicar un restablecimiento de fábrica en el dispositivo y reinstalar la última versión de su software," el informe concluido.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: