研究人员警告说,自 2022 年 8 月初以来,利用尝试将 Realtek Jungle SDK 中现已修补的关键远程代码执行缺陷武器化的利用尝试激增。
根据Palo Alto Networks Unit 42 的数据,截至 2022 年 12 月,正在进行的攻击已经记录到有 1.34 亿次漏洞利用尝试,其中 97% 的攻击发生在过去四个月中。
近50%的攻击来自美国(48.3%),其次是越南(17.8%),俄罗斯(14.6%),荷兰(7.4%),法国(6.4%),德国(2.3%0和卢森堡(1.6%)。
更重要的是,95%的利用该漏洞的攻击来自俄罗斯,攻击目标是澳大利亚的组织。
“我们观察到的许多攻击都试图传递恶意软件来感染有漏洞的IOT设备,”Unit 42的研究人员在一份报告中说,并补充说“威胁组织正在利用这个漏洞对世界各地的智能设备进行大规模攻击
有问题的漏洞是 CVE-2021-35394(CVSS 分数:9.8),这是一组缓冲区溢出和一个任意命令注入错误,可以将其武器化以最高级别的权限执行任意代码并接管受影响的设备。
CVE-2021-35394漏洞信息由 ONEKEY(以前的IOT Inspector)于 2021 年 8 月披露。受影响的品牌有D-Link,LG,Belkin,Belkin,ASUS和NETGEAR的各种设备。
Unit 42表示,由于在野外利用该漏洞,它发现了三种不同类型的有效载荷
- 脚本在目标服务器上执行 shell 命令以下载其他恶意软件
- 注入的命令,将二进制有效负载写入文件并执行它,以及
- 直接给目标服务器注入重新启动命令以导致拒绝服务 (DoS)
通过滥用 CVE-2021-35394 传递的还有已知的僵尸网络,如 Mirai、Gafgyt 和 Mozi,以及一个名为 RedGoBot 的基于 Golang 的新型分布式拒绝服务 (DDoS) 僵尸网络。
RedGoBot 僵尸网络的活动请于 2022 年 9 月被首次观察到,涉及下发一个 shell 脚本,该脚本旨在下载许多针对不同 CPU 架构量身定制的僵尸网络客户端。该恶意软件一旦启动,就可以运行操作系统命令并发起DDoS攻击。
调查结果再次强调了及时更新软件以避免面临潜在威胁的重要性。
研究人员总结说:“利用CVE-2021-35394的攻击激增表明,威胁行为者对供应链漏洞非常感兴趣,普通用户可能难以识别和修复这些漏洞。“这些问题可能使受影响的用户难以识别正在利用的特定下游产品。
1074
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
