CVE-2021-35394 è critico, esecuzione di codice remoto vulnerabilità di sicurezza che interessa Realtek Jungle SDK.
Valutato 9.8 sulla scala di gravità e metriche CVSS 3.x, la vulnerabilità è stata sfruttata come arma dagli aggressori in campagne dannose in corso che sono state avviate ad agosto 2022. Secondo l'Unità di Palo Alto 42 ricercatori, almeno 134 milioni di tentativi di exploit sono stati registrati fino a dicembre dello scorso anno.
Il team “lo ha scoperto tra agosto e ottobre 2022, il numero di attacchi che tentano di sfruttare una vulnerabilità legata all'esecuzione di codice in modalità remota di Realtek Jungle SDK (CVE-2021-35394) rappresentato più di 40% del numero totale di attacchi”.
“A partire da dicembre 2022, abbiamo osservato 134 milioni di tentativi di exploit in totale sfruttando questa vulnerabilità, e a proposito di 97% di questi attacchi si sono verificati dopo l'inizio di agosto 2022. Al momento della scrittura, l'attacco è ancora in corso,"aggiunse il rapporto.
CVE-2021-35394: Quello che si sa finora
Secondo la descrizione ufficiale fornita dal National Vulnerability Database, in colpa per il difetto è uno strumento chiamato MP Daemon:
Realtek Jungle SDK versione v2.x fino a v3.4.14B fornisce uno strumento diagnostico chiamato 'MP Daemon’ che di solito è compilato come 'UDPServer’ binario. Il file binario è affetto da più vulnerabilità di danneggiamento della memoria e da una vulnerabilità di iniezione di comandi arbitrari che può essere sfruttata da aggressori remoti non autenticati.
È interessante notare che CVE-2021-35394 influisce 190 modelli di dispositivi da 66 produttori. Per quanto riguarda l'alto tasso di successo degli attacchi, i ricercatori ritengono che il difetto sia stato utilizzato come arma da così tanti attori della minaccia "perché i problemi della catena di approvvigionamento possono rendere difficile per l'utente medio identificare i prodotti interessati che vengono sfruttati".
Attacchi contro CVE-2021-35394 Forniscono malware
Nella maggior parte degli attacchi, hanno osservato i ricercatori il malware tentativi di consegna contro dispositivi IoT vulnerabili. In altre parole, gli aggressori utilizzano il difetto per eseguire attacchi su larga scala. Perché i dispositivi e i router IoT sono spesso esclusi dalle routine di sicurezza delle organizzazioni, molti dispositivi e aziende possono essere a rischio, Unità 42 avvertito.
L'analisi rivela che i campioni di malware dei tentativi di attacco provengono da famiglie di malware popolari, compresa Mirai, Gafgyt e Mozi, così come un nuovo DDoS botnet scritta in Golang chiamata RedGoBot.
"Se confermi che un dispositivo è stato colpito dal malware a cui si fa riferimento in questo post, è necessario applicare un reset di fabbrica sul dispositivo e reinstallare l'ultima versione del suo software," il rapporto concluso.