CVE-2021-35394 est une critique, exécution de code distant vulnérabilité de sécurité qui affecte Realtek Jungle SDK.
Évalué 9.8 sur l'échelle de gravité et de métrique CVSS 3.x, la vulnérabilité a été militarisée par des attaquants dans des campagnes malveillantes en cours qui ont été lancées en août 2022. Selon l'unité de Palo Alto 42 des chercheurs, au moins 134 millions de tentatives d'exploitation ont été enregistrées jusqu'en décembre de l'année dernière.
L'équipe « a découvert qu'entre août et octobre 2022, le nombre d'attaques tentant d'exploiter une vulnérabilité d'exécution de code à distance du SDK Realtek Jungle (CVE-2021-35394) représentaient plus de 40% du nombre total d'attaques.
« Dès décembre 2022, nous avons observé 134 millions de tentatives d'exploitation au total exploitant cette vulnérabilité, Et à propos 97% de ces attaques ont eu lieu après le début du mois d'août 2022. Au moment de la rédaction, l'attaque est toujours en cours," ajoute le rapport.
CVE-2021-35394: Ce qui est connu So Far
Selon la description officielle fournie par la base de données nationale sur les vulnérabilités, responsable de la faille est un outil appelé MP Daemon:
Realtek Jungle SDK version v2.x jusqu'à v3.4.14B fournit un outil de diagnostic appelé 'MP Daemon’ qui est généralement compilé en tant que 'UDPServer’ binaire. Le binaire est affecté par plusieurs vulnérabilités de corruption de mémoire et une vulnérabilité d'injection de commande arbitraire qui peut être exploitée par des attaquants distants non authentifiés.
Il est à noter que CVE-2021-35394 affecte 190 modèles d'appareils de 66 fabricants. Quant au taux de réussite élevé des attaques, les chercheurs pensent que la faille a été militarisée par tant d'acteurs malveillants "parce que les problèmes de chaîne d'approvisionnement peuvent rendre difficile pour l'utilisateur moyen d'identifier les produits concernés qui sont exploités".
Attaques contre CVE-2021-35394 Deliver Malware
Dans la plupart des attaques, les chercheurs ont observé les logiciels malveillants tentatives de livraison contre des appareils IoT vulnérables. En d'autres termes, les attaquants utilisent la faille pour effectuer des attaques à grande échelle. Parce que les appareils et les routeurs IoT sont souvent exclus des routines de sécurité des organisations, de nombreux appareils et entreprises peuvent être à risque, Unité 42 averti.
L'analyse révèle que les échantillons de logiciels malveillants des tentatives d'attaque proviennent de familles de logiciels malveillants populaires, y compris Mirai, Gafgyt et Mozi, ainsi qu'un nouveau DDoS botnet écrit en Golang appelé RedGoBot.
"Si vous confirmez qu'un appareil a été affecté par le logiciel malveillant référencé dans cet article, il est nécessaire d'appliquer une réinitialisation d'usine sur l'appareil et de réinstaller la dernière version de son logiciel," le rapport conclu.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: