Los investigadores advierten sobre un aumento en los intentos de explotación que arma una falla crítica de ejecución remota de código en Realtek Jungle SDK desde principios de agosto de 2022.
Según la Unidad 42 de Palo Alto Networks, se dice que la campaña en curso registró 134 millones de intentos de explotación a partir de diciembre de 2022, con el 97% de los ataques ocurridos en los últimos cuatro meses.
Cerca del 50% de los ataques se originaron en los Estados Unidos (48,3%), seguido de Vietnam (17,8%), Rusia (14,6%), los Países Bajos (7,4%), Francia (6,4%), Alemania (2,3% 0 y Luxemburgo (1,6%).
Además, el 95% de los ataques que aprovecharon la deficiencia de seguridad que emanó de Rusia señalaron a organizaciones en Australia.
“Muchos de los ataques que observamos intentaron entregar malware para infectar dispositivos IoT vulnerables”, dijeron los investigadores de la Unidad 42 en un informe, y agregaron que “los grupos de amenazas están utilizando esta vulnerabilidad para llevar a cabo ataques a gran escala en dispositivos inteligentes en todo el mundo”.
La vulnerabilidad en cuestión es CVE-2021-35394 (puntuación CVSS: 9.8), un conjunto de desbordamientos de búfer y un error de inyección de comandos arbitrarios que podría convertirse en un arma para ejecutar código arbitrario con el nivel más alto de privilegios y hacerse cargo de los dispositivos afectados.
Los problemas fueron revelados por ONEKEY (anteriormente IoT Inspector) en agosto de 2021. La vulnerabilidad afecta a una amplia gama de dispositivos de D-Link, LG, Belkin, Belkin, ASUS y NETGEAR.
La Unidad 42 dijo que descubrió tres tipos diferentes de cargas útiles distribuidas como resultado de la explotación salvaje de la falla:
- Un script ejecuta un comando de shell en el servidor de destino para descargar malware adicional
- Un comando inyectado que escribe una carga binaria en un archivo y lo ejecuta, y
- Un comando inyectado que reinicia directamente el servidor de destino para provocar una condición de denegación de servicio (DoS)
También se entregan a través del abuso de CVE-2021-35394 botnets conocidas como Mirai, Gafgyt y Mozi, así como una nueva botnet de denegación de servicio distribuida (DDoS) basada en Golang denominada RedGoBot.
Observada por primera vez en septiembre de 2022, la campaña RedGoBot implica dejar caer un script de shell diseñado para descargar una serie de clientes de botnet adaptados a diferentes arquitecturas de CPU. El malware, una vez lanzado, está equipado para ejecutar comandos del sistema operativo y montar ataques DDoS.
Los hallazgos subrayan una vez más la importancia de actualizar el software de manera oportuna para evitar la exposición a posibles amenazas.
“El aumento de los ataques que aprovechan CVE-2021-35394 muestra que los actores de amenazas están muy interesados en las vulnerabilidades de la cadena de suministro, que pueden ser difíciles de identificar y remediar para el usuario promedio”, concluyeron los investigadores. “Estos problemas pueden dificultar que el usuario afectado identifique los productos específicos que se están explotando”.
