Les chercheurs mettent en garde contre un pic de tentatives d’exploitation militarisant une faille critique d’exécution de code à distance dans Realtek Jungle SDK depuis le début du mois d’août 2022.
Selon l’unité 42 de Palo Alto Networks, la campagne en cours aurait enregistré 134 millions de tentatives d’exploitation en décembre 2022, 97 % des attaques ayant eu lieu au cours des quatre derniers mois.
Près de 50 % des attaques provenaient des États-Unis (48,3 %), suivis du Vietnam (17,8 %), de la Russie (14,6 %), des Pays-Bas (7,4 %), de la France (6,4 %), de l’Allemagne (2,3 %0 et Luxembourg (1,6%).
De plus, 95 % des attaques tirant parti de la faille de sécurité émanant de la Russie ont ciblé des organisations en Australie.
« De nombreuses attaques que nous avons observées ont tenté de diffuser des logiciels malveillants pour infecter des appareils IoT vulnérables », ont déclaré les chercheurs de l’unité 42. m’a dit dans un rapport, ajoutant que « des groupes de menaces utilisent cette vulnérabilité pour mener des attaques à grande échelle sur des appareils intelligents dans le monde entier ».
La vulnérabilité en question est CVE-2021-35394 (score CVSS : 9,8), un ensemble de dépassements de mémoire tampon et un bogue d’injection de commande arbitraire qui pourrait être utilisé comme arme pour exécuter du code arbitraire avec le niveau de privilège le plus élevé et prendre le contrôle des appareils concernés.
Les problèmes ont été révélés par ONEKEY (anciennement IoT Inspector) en août 2021. La vulnérabilité affecte une large gamme d’appareils de D-Link, LG, Belkin, Belkin, ASUS et NETGEAR.
L’unité 42 a déclaré avoir découvert trois types différents de charges utiles distribuées à la suite de l’exploitation à l’état sauvage de la faille –
- Un script exécute une commande shell sur le serveur ciblé pour télécharger des logiciels malveillants supplémentaires
- Une commande injectée qui écrit une charge utile binaire dans un fichier et l’exécute, et
- Une commande injectée qui redémarre directement le serveur ciblé pour provoquer une condition de déni de service (DoS)
Des botnets connus comme Mirai, Gafgyt et Mozi, ainsi qu’un nouveau botnet de déni de service distribué (DDoS) basé sur Golang appelé RedGoBot, sont également livrés par l’abus de CVE-2021-35394.
Observée pour la première fois en septembre 2022, la campagne RedGoBot consiste à supprimer un script shell conçu pour télécharger un certain nombre de clients botnet adaptés à différentes architectures de processeur. Le logiciel malveillant, une fois lancé, est équipé pour exécuter des commandes du système d’exploitation et monter des attaques DDoS.
Les résultats soulignent une fois de plus l’importance de mettre à jour les logiciels en temps opportun pour éviter l’exposition à des menaces potentielles.
« La vague d’attaques utilisant CVE-2021-35394 montre que les acteurs de la menace sont très intéressés par les vulnérabilités de la chaîne d’approvisionnement, qui peuvent être difficiles à identifier et à corriger pour l’utilisateur moyen », ont conclu les chercheurs. « Ces problèmes peuvent rendre difficile pour l’utilisateur concerné d’identifier les produits en aval spécifiques qui sont exploités. »