Realtek SDK漏洞被發現用來傳播Mirai bot變體 受影響裝置包括中興、華碩等

SAM Seamless Network 研究人員警告稱，自從Realtek SDK漏洞的技術細節被公開以來，威脅行為者正在積極利用這些漏洞。

8月15日，Realtek釋出了一份安全建議，警告客戶進行安全更新，以解決其軟體開發工具包(SDK)中的漏洞。目前，至少有65家獨立供應商在使用該工具包。韌體安全公司 IoT Inspector釋出了有關漏洞的詳細資訊。

自8月18日以來，SAM Seamless Network觀察到威脅行為者利用這些漏洞。物聯網檢察員稱，8月16日實驗室披露了作為Realtek 晶片組一部分分發的軟體SDK中的多個漏洞。在釋出兩天後，家庭安全解決方案組檢測到利用這些漏洞傳播Mirai 惡意軟體變體的意圖。

其中一個漏洞是CVE-2021-35395[2]，它影響SDK的web介面，是6個不同漏洞的集合。截至8月18日，已在野發現了試圖利用CVE-2021-35395的企圖。

IoT Inspector的專家在使用其RTL8xxx晶片的公司使用的Realtek SDK中發現了十多個漏洞。專家報告稱，其中一些漏洞可能會讓遠端、未經認證的攻擊者完全控制脆弱的裝置。

“在IoT Inspector的韌體分析平臺的支援下，我們對這些二進位制檔案進行了漏洞研究，並確定了十多個漏洞——從命令注入到影響UPnP、HTTP(管理web介面)和Realtek定製網路服務的記憶體損壞。物聯網檢查員稱。

透過利用這些漏洞，遠端未經身份驗證的攻擊者可以完全危及目標裝置，並以最高許可權執行任意程式碼。目前確定了至少65個不同的受影響供應商，擁有近200個獨特的指紋。

受影響的裝置實現了無線功能並涵蓋了廣泛的用例：從家用閘道器、旅行路由器、Wi-Fi中繼器、IP攝像機到智慧閃電閘道器，甚至是聯網玩具。

受影響的裝置包括來自華碩、貝爾金、D-Link、華為、LG、羅技、Netgear、中興和Zyxel等多個品牌的路由器、IP攝像頭、Wi-Fi 中繼器和家用閘道器。

這些漏洞被統稱為CVE-2021-35392、CVE-2021-35393、CVE-2021-35394 和 CVE-2021-35395，SAM 專家觀察到 CVE-2021-35395 已被廣泛利用來傳播Mirai機器人。

Mirai是一個臭名昭著的物聯網和路由器惡意軟體，在過去5年裡以各種形式傳播。它最初是用來關閉網際網路，但後來為不同的目的發展成了許多變體。到去年3月，在野觀察到了60多種變體。隨著針對Realtek SDK缺陷的最新迭代，這個數字仍在攀升。

目標裝置

SAM 表示，最容易受到 Realtek SDK 漏洞影響的裝置是：

Netis E1+ 擴充套件器

Edimax N150 和 N300 Wi-F 路由器

Repotec RP-WR5444 路由器

就在Realtek披露後一天，Mandiant與網路安全和基礎設施安全域性 (CISA)報告了物聯網雲平臺ThroughTek Kalay中的一個缺陷。該漏洞可能允許攻擊者接管物聯網裝置以收聽現場音訊、觀看實時影片等。

而此次參與攻擊的Mirai變體與Palo Alto Networks研究人員在3月份發現的相同。今年3月，該機器人一直在利用10個漏洞來劫持物聯網裝置。

8月6日，Juniper Networks報告稱，威脅行為者正在積極利用一個關鍵的身份驗證繞過漏洞，追蹤到該漏洞為CVE-2021-20090，影響使用Arcadyan韌體的家庭路由器，以部署Mirai機器人，與利用CVE-2021-35395漏洞的相同變種。

預計未來幾年物聯網裝置的數量將超過750億臺，網路犯罪分子可以利用的問題和漏洞數量也會相應增加。物聯網網路複雜、模糊又極易發生供應鏈攻擊，使其面臨巨大威脅。儘管發生問題時和供應商有很大關係，但更重要的是使用者在使用時如何加強安全防禦能力，同時提高對供應商軟體安全性的相關要求。尤其90%的網路安全問題是由軟體自身安全漏洞被利用導致的，因此在軟體開發期間透過安全可信的工具對 原始碼檢測及修復，可以有效降低軟體安全漏洞，同時也應將其作為軟體供應商交付產品時的一個驗收標準。

參讀連結：

https://securityaffairs.co/wordpress/121400/cyber-crime/realtek-sdk-flaws-mirai-bot.html

https://threatpost.com/attackers-exploiting-realtek/168856/