Bilgisayar korsanları, 2022'nin ikinci yarısında akıllı cihazları enfekte etmeye çalışan Realtek Jungle SDK 134 milyon saldırıda kritik bir uzaktan kod yürütme kırılganlığından yararlandı.
Çoklu tehdit aktörleri tarafından kullanılan güvenlik açığı, CVE-2021-35394 olarak izlenir ve 10 üzerinden 9.8'lik bir şiddet puanı ile birlikte gelir.
Geçen yıl Ağustos ve Ekim arasında, Palo Alto Networks sensörleri, bu güvenlik sorunu için önemli bir sömürü faaliyeti gözlemleyerek toplam olay sayısının% 40'ından fazlasını oluşturdu.
Eylül 2022'den itibaren, CVE-2021-35394'e karşı savunmasız vahşi hedefleme IoT cihazlarında 'Redgobot' adlı yeni bir büyük botnet kötü amaçlı yazılım ortaya çıktı.
Palo Alto Network'ün Tehdit İstihbarat Ekibi Ünite 42'deki araştırmacılar, kusurun sömürülmesinin Aralık ayı boyunca devam ettiğini fark etti.
Bu saldırıların bir sonucu olarak üç farklı yük teslim edildi:
Bu saldırıların çoğu Mirai, Gafgyt, Mozi ve bunların türevleri gibi Botnet kötü amaçlı yazılım ailelerinden kaynaklanmaktadır. Nisan 2022'de Fodcha Botnet, dağıtılmış hizmet reddi (DDOS) operasyonları için CVE-2021-35394'ten yararlandığını tespit etti.
Redgobot ayrıca Eylül ayında saldırılarda DDOS amaçları için güvenlik açığını kullandı. BOTNET, HTTP, ICMP, TCP, UDP, VSE ve OpenVPN protokollerinde DDOS saldırıları yapabilir ve çeşitli sel yöntemlerini destekleyebilir.
Ünite 42 Girişli Etkinlik, dünyanın dört bir yanından CVE-2021-35394'ten yararlandı, ancak saldırıların neredeyse yarısı ABD'den kaynaklandı.
Bununla birlikte, tehdit aktörleri blok listelerinden kaçmak için ABD tabanlı IP adreslerini kullanmayı tercih ettiği için VPN'leri ve vekilleri kullanmak gerçek kaynağı gizleyebilir.
Ünite 42’nin raporu, “Ağustos 2021'den Aralık 2022'ye kadar, CVE-2021-35394'ü hedefleyen toplam 134 milyon istismar girişimini gözlemledik ve bu saldırıların% 97'si Ağustos 2022'nin başından sonra gerçekleşti.
CVE-2021-35394, Uzaktan Eklenmemiş Saldırganların keyfi komut enjeksiyonu gerçekleştirmesine izin veren birden fazla bellek yolsuzluk kusurunun neden olduğu Realtek Jungle SDK sürüm 2.x ila 3.4.14b'de kritik bir (CVSS V3: 9.8) güvenlik açığıdır.
Realtek, 15 Ağustos 2021'de kusuru, CVE-2021-35395 gibi diğer kritik şiddet kusurları ile birlikte, açıklamasından sadece günler sonra ve geçen Aralık ayında istismardan istismarları içeren botnets tarafından yoğun bir şekilde hedeflenen diğer kritik şiddet kusurları ile düzeltildi.
Realtek yonga setleri IoT dünyasında her yerde bulunur ve Tayvanlı çip üreticisi, ürünlerindeki sorunları hızlı bir şekilde ele almak için güvenlik güncellemelerini zorlasa bile, tedarik zinciri karmaşıklıkları son kullanıcılara teslimatlarını geciktirir.
Ayrıca, kullanıcılar cihaz satıcılarından kullanılabilir hale gelse bile sıklıkla ürün yazılımı güncellemelerini ihmal eder ve birçoğu IoT cihazlarına “Set and Unut” zihniyetiyle tedavi eder.
Realtek'in güvenlik düzeltmelerinin yayınlanmasından neredeyse bir yıldan fazla bir yıldan fazla bir süre sonra CVE-2021-35394'ten yararlanmada bir artış, iyileştirme çabalarının geciktiğini ve bunun için suçun satıcılar ve son kullanıcı arasında paylaşıldığını göstermektedir.
Savunmasız cihazlardan bazıları artık desteklenmeyebilir. Bazı durumlarda, satıcılar bir düzeltme ile bir güncelleme yayınlamış olabilir, ancak kullanıcılar yükleyemedi. Kullanıcılar, cihazlarının etkilenip etkilenmediğini ve CVE-2021-35394'e hitap eden güvenlik yamaları olup olmadığını kontrol etmelidir.
Cihazınız zaten enfekte edilmişse, öneri bir fabrika sıfırlaması gerçekleştirme, güçlü bir yönetici şifresi ayarlaması ve ardından mevcut tüm ürün yazılımı güncellemelerini uygulamaktır.
CVE-2021-35394'ten yararlanmanın, güvenlik sorununun yönetilmesinde büyük gecikmelere neden olan tedarik zinciri yamasında karmaşıklıklar nedeniyle 2023'ün ilk yarısında yüksek seviyelerde kalması bekleniyor.
GTA Online Hatası Yasak, Yolsuz Oyuncuların Hesapları
VMware, Vrealize Günlük Analizi Aracı'ndaki kritik güvenlik hatalarını düzeltir
Bilgisayar korsanları, kötü amaçlı yazılım yüklemek için kaktüs kritik hatası, ters kabukları açmak
Auth0, 22.000 proje tarafından kullanılan JsonWebtoken Kütüphanesinde RCE kusurunu düzeltiyor
Google Home Hoparlörler, bilgisayar korsanlarının konuşmalara girmesine izin verdi
Kaynak: Bleeping Computer