Ботнет нацелен на сотни тысяч устройств с помощью Realtek SDK

56
Предполагаемый партнер по программе-вымогателю арестован за медицинские атаки

Последнее обновление 03.01.2023 — QGames

Ботнет на основе Mirai теперь нацелен на критическую уязвимость в программном SDK, используемом сотнями тысяч устройств на базе Realtek, включая 200 моделей от как минимум 65 поставщиков, включая Asus, Belkin, D-Link, Netgear, Tenda, ZTE и Zyxel.

Недостаток безопасности, обнаруженный исследователями безопасности IoT Inspector, теперь отслеживается как CVE-2021-35395 и имеет рейтинг серьезности 9,8 / 10.

Это влияет на многие беспроводные устройства, доступные в Интернете , от домашних шлюзов и туристических маршрутизаторов до повторителей Wi-Fi, IP-камер и интеллектуальных шлюзов Lightning или подключенных игрушек.

Атаки начались всего через два дня после публичного обнародования

Поскольку ошибка затрагивает веб-интерфейс управления, удаленные злоумышленники могут сканировать и пытаться взломать их, чтобы удаленно выполнить произвольный код на непропатченных устройствах, что позволяет им захватить затронутые устройства.

Хотя Realtek отправила исправленную версию уязвимого SDK 13 августа, за три дня до того, как исследователи безопасности IoT Inspector опубликовали свои рекомендации , у владельцев уязвимых устройств было очень мало времени для применения исправления.

По теме:  Устройство чтения SD-карт не отображается в проводнике? Вот как это исправить

Как обнаружила компания по сетевой безопасности SAM Seamless Network, ботнет Mirai начал поиск устройств, на которых не установлено исправление CVE-2021-35395 18 августа, всего через два дня после того, как IoT Inspector поделился подробностями об ошибке.

«По состоянию на 18 августа мы выявили попытки использования CVE-2021-35395 в дикой природе», — говорится в отчете SAM, опубликованном на прошлой неделе.

SAM говорит, что наиболее распространенными устройствами, использующими глючный Realtek SDK, на которые нацелен этот ботнет, являются расширитель Netis E1 +, маршрутизаторы Wi-Fi Edimax N150 и N300 и маршрутизатор Repotec RP-WR5444, который в основном используется для улучшения приема Wi-Fi.

Ботнет обновлен для нацеливания на новые устройства

Злоумышленник, стоящий за этим ботнетом на базе Mirai, также обновил свои сканеры более двух недель назад, чтобы использовать критическую уязвимость обхода аутентификации (CVE-2021-20090), затрагивающую миллионы домашних маршрутизаторов, использующих прошивку Arcadyan.

Как тогда выяснили исследователи Juniper Threat Labs, этот злоумышленник нацелен на сети и устройства Интернета вещей как минимум с февраля.

«Эта цепочка событий показывает, что хакеры активно ищут уязвимости, связанные с внедрением команд, и используют их для быстрого распространения широко используемых вредоносных программ», — сказал Омри Маллис, главный архитектор продуктов SAM Seamless Network.

«Эти виды уязвимостей легко использовать, и их можно быстро интегрировать в существующие хакерские системы, которые используют злоумышленники, задолго до того, как устройства будут исправлены и поставщики средств безопасности смогут отреагировать».