🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Măng Cành, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 CỔNG THÔNG TIN ĐIỆN TỬ XÃ ĐẠ ĐỜN đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ Ban Nhân Dân Thị Trấn Chợ Rã đã đăng ký tín nhiệm. 🔥                   

Các nhà nghiên cứu đang cảnh báo về các khai thác lỗ hổng Realtek: Hơn 134 triệu nỗ lực tấn công thiết bị IoT

31/01/2023

Các nhà nghiên cứu đang cảnh báo về sự gia tăng đột biến các nỗ lực khai thác lạm dụng lỗ hổng thực thi mã từ xa nghiêm trọng, lỗ hổng đã được vá trong Realtek Jungle SDK từ đầu tháng 8 năm 2022.

Theo Palo Alto Networks Unit 42, chiến dịch đang diễn ra đã ghi nhận được 134 triệu nỗ lực khai thác tính đến tháng 12 năm 2022.

Gần 50% các cuộc tấn công bắt nguồn từ Mỹ (48,3%), tiếp theo là Việt Nam (17,8%), Nga (14,6%), Hà Lan (7,4%), Pháp (6,4%), Đức (2,3%0 và Lúc-xăm-bua (1,6%); 95% các cuộc tấn công bắt nguồn từ Nga nhắm vào các tổ chức ở Úc.

Unit 42 cho biết: “Nhiều cuộc tấn công mà chúng tôi phát hiện được đã cố gắng phát tán mã độc để lây nhiễm cho các thiết bị IoT dễ bị tổn thương”. “Các nhóm đe dọa đang sử dụng lỗ hổng này để thực hiện các cuộc tấn công quy mô lớn vào các thiết bị thông minh trên khắp thế giới”.

Lỗ hổng được đề cập có dịnh danh CVE-2021-35394 (điểm CVSS: 9,8), liên quan đến một nhóm các lỗi tràn bộ đệm và một lỗi chèn lệnh (command injection) tùy ý có thể bị khai thác để thực thi mã tùy ý với mức đặc quyền cao nhất và chiếm quyền điều khiển các thiết bị bị ảnh hưởng.

Các vấn đề được tiết lộ bởi ONEKEY (trước đây là IoT Inspector) vào tháng 8 năm 2021, ảnh hưởng đến nhiều loại thiết bị bao gồm D-Link, LG, Belkin, Belkin, ASUS và NETGEAR.

Các nhà nghiên cứu của Unit 42 cho biết họ đã phát hiện ba loại payload khác nhau được phát tán trong các cuộc tấn công được dùng để tải thêm các phần mềm độc hại trên máy chủ mục tiêu, tạo (write) và thực thi tệp nhị phân và khởi động lại máy chủ mục tiêu để gây ra tình trạng từ chối dịch vụ.

“Sự gia tăng các cuộc tấn công lạm dụng CVE-2021-35394 cho thấy các tác nhân đe dọa rất quan tâm đến các lỗ hổng trong chuỗi cung ứng, điều mà người dùng bình thường có thể khó xác định và khắc phục”. “Những vấn đề này có thể gây khó khăn cho người dùng bị ảnh hưởng trong việc xác định các sản phẩm cụ thể đang bị khai thác”.

Cũng được phát tán bằng cách lạm dụng CVE-2021-35394 là các mạng botnet đã biết như MiraiGafgyt, Mozi, và một mạng botnet mới có tên là RedGoBot.

RedGoBot lần đầu tiên được phát hiện vào tháng 9 năm 2022, liên quan đến việc phát tán một tập lệnh shell (shell script) được thiết kế để tải xuống một số botnet client phù hợp với các kiến ​​trúc CPU khác nhau. Phần mềm độc hại, sau khi được khởi chạy, có khả năng thực thi các lệnh của hệ điều hành và thực hiện các cuộc tấn công từ chối dịch vụ (DDoS).

Phát hiện này một lần nữa nhấn mạnh tầm quan trọng của việc cập nhật phần mềm kịp thời để giảm thiểu các mối đe dọa tiềm ẩn.

 Nguồn: thehackernews.com.

scrolltop