Realtek SDK漏洞被发现用来传播Mirai bot变体 受影响设备包括中兴、华硕等

SAM Seamless Network 研究人员警告称,自从Realtek SDK漏洞的技术细节被公开以来,威胁行为者正在积极利用这些漏洞。

8月15日,Realtek发布了一份安全建议,警告客户进行安全更新,以解决其软件开发工具包(SDK)中的漏洞。目前,至少有65家独立供应商在使用该工具包。固件安全公司 IoT Inspector发布了有关漏洞的详细信息。

自8月18日以来,SAM Seamless Network观察到威胁行为者利用这些漏洞。物联网检察员称,8月16日实验室披露了作为Realtek 芯片组一部分分发的软件SDK中的多个漏洞。在发布两天后,家庭安全解决方案组检测到利用这些漏洞传播Mirai 恶意软件变体的意图。

其中一个漏洞是CVE-2021-35395[2],它影响SDK的web界面,是6个不同漏洞的集合。截至8月18日,已在野发现了试图利用CVE-2021-35395的企图。

IoT Inspector的专家在使用其RTL8xxx芯片的公司使用的Realtek SDK中发现了十多个漏洞。专家报告称,其中一些漏洞可能会让远程、未经认证的攻击者完全控制脆弱的设备。

“在IoT Inspector的固件分析平台的支持下,我们对这些二进制文件进行了漏洞研究,并确定了十多个漏洞——从命令注入到影响UPnP、HTTP(管理web界面)和Realtek定制网络服务的内存损坏。物联网检查员称。

通过利用这些漏洞,远程未经身份验证的攻击者可以完全危及目标设备,并以最高权限执行任意代码。目前确定了至少65个不同的受影响供应商,拥有近200个独特的指纹。

受影响的设备实现了无线功能并涵盖了广泛的用例:从家用网关、旅行路由器、Wi-Fi中继器、IP摄像机到智能闪电网关,甚至是联网玩具。

受影响的设备包括来自华硕、贝尔金、D-Link、华为、LG、罗技、Netgear、中兴和Zyxel等多个品牌的路由器、IP摄像头、Wi-Fi 中继器和家用网关。

这些漏洞被统称为CVE-2021-35392、CVE-2021-35393、CVE-2021-35394 和 CVE-2021-35395,SAM 专家观察到 CVE-2021-35395 已被广泛利用来传播Mirai机器人。

Mirai是一个臭名昭著的物联网和路由器恶意软件,在过去5年里以各种形式传播。它最初是用来关闭互联网,但后来为不同的目的发展成了许多变体。到去年3月,在野观察到了60多种变体。随着针对Realtek SDK缺陷的最新迭代,这个数字仍在攀升。

目标设备

SAM 表示,最容易受到 Realtek SDK 漏洞影响的设备是:

Netis E1+ 扩展器

Edimax N150 和 N300 Wi-F 路由器

Repotec RP-WR5444 路由器

就在Realtek披露后一天,Mandiant与网络安全和基础设施安全局 (CISA)报告了物联网云平台ThroughTek Kalay中的一个缺陷。该漏洞可能允许攻击者接管物联网设备以收听现场音频、观看实时视频等。

而此次参与攻击的Mirai变体与Palo Alto Networks研究人员在3月份发现的相同。今年3月,该机器人一直在利用10个漏洞来劫持物联网设备。

8月6日,Juniper Networks报告称,威胁行为者正在积极利用一个关键的身份验证绕过漏洞,追踪到该漏洞为CVE-2021-20090,影响使用Arcadyan固件的家庭路由器,以部署Mirai机器人,与利用CVE-2021-35395漏洞的相同变种。

预计未来几年物联网设备的数量将超过750亿台,网络犯罪分子可以利用的问题和漏洞数量也会相应增加。物联网网络复杂、模糊又极易发生供应链攻击,使其面临巨大威胁。尽管发生问题时和供应商有很大关系,但更重要的是用户在使用时如何加强安全防御能力,同时提高对供应商软件安全性的相关要求。尤其90%的网络安全问题是由软件自身安全漏洞被利用导致的,因此在软件开发期间通过安全可信的工具对源代码检测及修复,可以有效降低软件安全漏洞,同时也应将其作为软件供应商交付产品时的一个验收标准。

参读链接:

securityaffairs.co/wordpress/1…

threatpost.com/attackers-e…