SAM Seamless Network 研究人員警告稱,自從Realtek SDK漏洞的技術細節被公開以來,威脅行為者正在積極利用這些漏洞。
8月15日,Realtek發布了一份安全建議,警告客戶進行安全更新,以解決其軟件開發工具包(SDK)中的漏洞。目前,至少有65家獨立供應商在使用該工具包。固件安全公司 IoT Inspector發布了有關漏洞的詳細信息。
自8月18日以來,SAM Seamless Network觀察到威脅行為者利用這些漏洞。物聯網檢察員稱,8月16日實驗室披露了作為Realtek 芯片組一部分分發的軟件SDK中的多個漏洞。在發布兩天后,家庭安全解決方案組檢測到利用這些漏洞傳播Mirai 惡意軟件變體的意圖。
其中一個漏洞是CVE-2021-35395[2],它影響SDK的web界面,是6個不同漏洞的集合。截至8月18日,已在野發現了試圖利用CVE-2021-35395的企圖。
IoT Inspector的專家在使用其RTL8xxx芯片的公司使用的Realtek SDK中發現了十多個漏洞。專家報告稱,其中一些漏洞可能會讓遠程、未經認證的攻擊者完全控制脆弱的設備。
“在IoT Inspector的固件分析平臺的支持下,我們對這些二進制文件進行了漏洞研究,并確定了十多個漏洞——從命令注入到影響UPnP、HTTP(管理web界面)和Realtek定制網絡服務的內存損壞。物聯網檢查員稱。
通過利用這些漏洞,遠程未經身份驗證的攻擊者可以完全危及目標設備,并以最高權限執行任意代碼。目前確定了至少65個不同的受影響供應商,擁有近200個獨特的指紋。
受影響的設備實現了無線功能并涵蓋了廣泛的用例:從家用網關、旅行路由器、Wi-Fi中繼器、IP攝像機到智能閃電網關,甚至是聯網玩具。
受影響的設備包括來自華碩、貝爾金、D-Link、華為、LG、羅技、Netgear、中興和Zyxel等多個品牌的路由器、IP攝像頭、Wi-Fi 中繼器和家用網關。
這些漏洞被統稱為CVE-2021-35392、CVE-2021-35393、CVE-2021-35394 和 CVE-2021-35395,SAM 專家觀察到 CVE-2021-35395 已被廣泛利用來傳播Mirai機器人。
Mirai是一個臭名昭著的物聯網和路由器惡意軟件,在過去5年里以各種形式傳播。它最初是用來關閉互聯網,但后來為不同的目的發展成了許多變體。到去年3月,在野觀察到了60多種變體。隨著針對Realtek SDK缺陷的最新迭代,這個數字仍在攀升。
目標設備
SAM 表示,最容易受到 Realtek SDK 漏洞影響的設備是:
Netis E1+ 擴展器
Edimax N150 和 N300 Wi-F 路由器
Repotec RP-WR5444 路由器
就在Realtek披露后一天,Mandiant與網絡安全和基礎設施安全局 (CISA)報告了物聯網云平臺ThroughTek Kalay中的一個缺陷。該漏洞可能允許攻擊者接管物聯網設備以收聽現場音頻、觀看實時視頻等。
而此次參與攻擊的Mirai變體與Palo Alto Networks研究人員在3月份發現的相同。今年3月,該機器人一直在利用10個漏洞來劫持物聯網設備。
8月6日,Juniper Networks報告稱,威脅行為者正在積極利用一個關鍵的身份驗證繞過漏洞,追蹤到該漏洞為CVE-2021-20090,影響使用Arcadyan固件的家庭路由器,以部署Mirai機器人,與利用CVE-2021-35395漏洞的相同變種。
預計未來幾年物聯網設備的數量將超過750億臺,網絡犯罪分子可以利用的問題和漏洞數量也會相應增加。物聯網網絡復雜、模糊又極易發生供應鏈攻擊,使其面臨巨大威脅。盡管發生問題時和供應商有很大關系,但更重要的是用戶在使用時如何加強安全防御能力,同時提高對供應商軟件安全性的相關要求。尤其90%的網絡安全問題是由軟件自身安全漏洞被利用導致的,因此在軟件開發期間通過安全可信的工具對源代碼檢測及修復,可以有效降低軟件安全漏洞,同時也應將其作為軟件供應商交付產品時的一個驗收標準。
參讀鏈接: