Specialisti in sicurezza informatica metteno in guardia riguardo ad un picco di tentativi di sfruttamento di un bug che sfruttano come arma una falla di esecuzione critica del codice remoto in Realtek Jungle SDK dall’inizio di agosto 2022.
Secondo Palo Alto Networks Unit 42, la campagna in corso avrebbe registrato 134 milioni di tentativi di exploit a dicembre 2022, con il 97% degli attacchi verificatisi negli ultimi quattro mesi.
Riassumendo: quasi il 50% degli attacchi ha avuto origine dagli Stati Uniti (48,3%), seguiti da Vietnam (17,8%), Russia (14,6%), Paesi Bassi (7,4%), Francia (6,4%), Germania (2,3%) e Lussemburgo (1,6%).
Inoltre, il 95% degli attacchi che sfruttano la carenza di sicurezza proveniente dalla Russia, va detto che gli esperti hanno individuati organizzazioni di cybercriminali anche in Australia.
“Molti degli attacchi che abbiamo osservato hanno cercato di fornire malware per infettare dispositivi IoT vulnerabili“, hanno affermato i ricercatori dell’Unità 42 in un rapporto sul caso Realtek, aggiungendo che “i gruppi [autori] di minacce stanno utilizzando questa vulnerabilità per eseguire attacchi su larga scala su dispositivi intelligenti in tutto il mondo“.
La vulnerabilità in questione è CVE-2021-35394 (punteggio CVSS: 9.8), un insieme di overflow del buffer e un bug di injection di comandi malevoli, il quale potrebbe essere utilizzato come per eseguire codice dannoso con il più alto livello di privilegi (privilegi di amministratore, precisamente) e prendere il controllo delle applicazioni interessate.
I problemi sono stati divulgati da ONEKEY (in precedenza IoT Inspector) nell’agosto 2021; la vulnerabilità interessa un’ampia gamma di dispositivi di D-Link, LG, Belkin, Belkin, ASUS e NETGEAR.
L’Unità 42 ha detto di aver scoperto tre diversi tipi di payload distribuiti come risultato dello sfruttamento in-the-wild del difetto Realtek sulla sicurezza:
- Uno script esegue un comando shell sul server di destinazione per scaricare malware aggiuntivo;
- Un comando inserito da remoto (injection) che scrive un payload binario in un file e lo esegue;
- Un comando iniettato che riavvia direttamente il server di destinazione per causare una condizione di denial-of-service (DoS).
Inoltre, attraverso l’abuso di CVE-2021-35394 sono state distribuite botnet note come Mirai, Gafgyt e Mozi, nonché una nuova botnet DDoS (Distributed Denial-of-Service) basata su Golang, denominata RedGoBot.
Osservata per la prima volta nel settembre 2022, la campagna di hacking RedGoBot prevede l’eliminazione di uno script shell progettato per scaricare una serie di client botnet, che per bucare diverse architetture di CPU, successivamente il malware, una volta lanciato, è in grado di eseguire comandi del sistema operativo e montare attacchi DDoS.
I risultati mettono in evidenza ancora una volta l’importanza di aggiornare il software in modo tempestivo per evitare l’esposizione a potenziali minacce.
“L’ondata di attacchi che sfruttano CVE-2021-35394 mostra che gli attori delle minacce sono molto interessati alle vulnerabilità della catena di approvvigionamento, che possono essere difficili da identificare e correggere per l’utente medio“, hanno concluso i ricercatori. “Questi problemi possono rendere difficile per l’utente interessato identificare gli specifici prodotti a valle che vengono sfruttati“.
Realtek, in un modo o nell’altro ce l’abbiamo quasi tutti
Senza dover fare allarmismo, i prodotti Realtek si nascondono nei luoghi più improbabili: computer fissi, computer portatili, probabilmente anche qualche tablet.
Solitamente, infatti, Realtek mette su schede madri (in genere Intel) chip o schede per l’audio; purtroppo sostanzialmente nessuno è al sicuro se possiede un PC intel con scheda audio integrata della Realtek.
Niente allarmismo tuttavia: i programmatori sicuramente staranno risolvendo il problema e sarà risolto quanto prima.