Cảnh báo: Lỗ hổng Realtek bị tấn công, hơn 134 triệu nỗ lực tấn công nhắm vào các thiết bị IoT

Thứ sáu, 21/04/2023 13:10

Các chuyên gia nghiên cứu cảnh báo về sự gia tăng đột biến các nỗ lực tấn công nhằm vũ khí hóa các lỗ hổng thực thi mã từ xa quan trọng, hiện đã được vá trong Realtek Jungle SDK kể từ đầu tháng 8/2022.Công ty an ninh mạng đa quốc gia Palo Alto Networks (Mỹ) đã cho biết chiến dịch tấn công vẫn đang diễn ra và đã ghi nhận hơn 134 triệu cuộc tấn công tính đến tháng 12/2022, với 97% các cuộc tấn công xảy ra trong 4 tháng gần nhất.

Gần 50% các cuộc tấn công bắt nguồn từ Mỹ (48,3%), tiếp theo là Việt Nam (17,8%), Nga (14,6%), Hà Lan (7,4%), Pháp (6,4%), Đức (2,3%) và Lúc-xăm-bua (1,6%). Hơn nữa, 95% các cuộc tấn công khai thác lỗ hổng bảo mật bắt nguồn từ Nga là nhắm vào các tổ chức ở Úc.

Các nhà nghiên cứu của Palo Alto Networks cho biết: “Trong nhiều cuộc tấn công mà chúng tôi quan sát được, mã độc đã được phát tán để lây nhiễm đến các thiết bị IoT dễ bị tổn thương”, đồng thời họ cũng cho biết thêm: “Các nhóm tin tặc đang lợi dụng lỗ hổng này để thực hiện các cuộc tấn công quy mô lớn vào các thiết bị thông minh trên khắp thế giới”.

20230530-pg7.jpg

 Lỗ hổng được đề cập đến là CVE-2021-35394 (điểm CVSS: 9,8), lỗi tràn bộ đệm và lỗi chèn lệnh cho phép đối tượng tấn công có thể thực thi mã tùy ý với mức đặc quyền cao và chiếm quyền kiểm soát các thiết bị bị lây nhiễm. Vấn đề này đã từng được đề cập bởi Công ty an ninh mạng ONEKEY (Đức) vào tháng 8/2021. Các lỗ hổng ảnh hưởng đến nhiều loại thiết bị từ D-Link, LG, Belkin, Belkin, ASUS cho đến NETGEAR.

Các vấn đề đã từng được tiết lộ bởi ONEKEY (trước đây là IoT Inspector) vào tháng 8/2021. Các lỗ hổng ảnh hưởng đến nhiều loại thiết bị từ D-Link, LG, Belkin, Belkin, ASUS cho đến NETGEAR.

Palo Alto Networks cho biết, họ đã phát hiện ra ba loại dữ liệu được phát tán (Payloads) để tự lây nhiễm thông qua lỗ hổng của thiết bị gồm:

  • Tập lệnh thực thi gửi thông báo đến máy chủ nạn nhân để yêu cầu tải xuống mã độc.

  • Một lệnh được sử dụng để ghi dữ liệu dưới dạng mã nhị phân vào một tệp và thực hiện nó.

  • Một lệnh được chèn trực tiếp để khởi động lại máy chủ nạn nhân nhằm gây ra tình trạng từ chối dịch vụ (DoS).

Các Payloads được phát tán thông qua việc sử dụng CVE-2021-35394. Các mạng Botnet đã được biết như Mirai, Gafgyt và Mozi, đồng thời một mạng Botnet tấn công từ chối dịch vụ (DDoS) đã được phát hiện xây dựng dựa trên ngôn ngữ lập trình mã nguồn mở mới có tên là RedGoBot.

Được phát hiện lần đầu tiên vào tháng 9/2022, chiến dịch RedGoBot liên quan đến việc loại bỏ tập lệnh được thiết kế để tải mã độc xuống một số máy nạn nhân trong mạng Botnet phù hợp với nhiều kiến ​​trúc CPU khác nhau. Mã độc, sau khi khởi chạy, được thiết kế để chạy các lệnh của hệ điều hành và thực hiện các cuộc tấn công DDoS.

Phát hiện này một lần nữa nhấn mạnh tầm quan trọng của việc cập nhật phần mềm nhanh chóng nhằm ngăn chặn các mối đe dọa tiềm tàng.

Các nhà nghiên cứu kết luận: “Sự gia tăng của các cuộc tấn công sử dụng CVE-2021-35394 cho thấy tin tặc rất quan tâm đến các lỗ hổng trong chuỗi cung ứng, điều mà người dùng bình thường có thể khó nhận biết và ứng phó. Những vấn đề này có thể gây khó khăn cho người dùng bị ảnh hưởng trong việc xác định các sản phẩm đầu cuối bị lây nhiễm”.

theo antoanthongtin.vn
banner
icon

Cổng dịch vụ công
Quốc Gia

Những thông tin thủ tục hành chính
khai báo online tại đây

Xem chi tiết icon
icon

Chính sách
pháp luật Việt Nam

Cập nhật thông tin, chính sách
pháp luật Việt Nam

Xem chi tiết icon

Cổng thông tin điện tử của các đơn vị thuộc Bộ

Doanh nghiệp

Top