Botnets exploited Realtek SDK critical bug in millions of attacks

ハッカーは、2022 年後半にスマート デバイスに感染しようとする Realtek Jungle SDK の 1 億 3,400 万件の攻撃で、重大なリモート コード実行の脆弱性を利用しました。

複数の脅威アクターによって悪用されたこの脆弱性は、CVE-2021-35394 として追跡されており、10 段階中 9.8 の重大度スコアが付いています。

昨年の 8 月から 10 月にかけて、Palo Alto Networks のセンサーは、このセキュリティ問題を悪用する重大な活動を観測しました。これは、インシデント総数の 40% 以上を占めています。

高い搾取レベル

2022 年 9 月以降、CVE-2021-35394 に対して脆弱な IoT デバイスを標的とする、「RedGoBot」という名前の新しい大規模なボットネット マルウェアが出現しました。

Palo Alto Network の脅威インテリジェンス チームである Unit 42 の研究者は、この脆弱性の悪用が 12 月中も続いていることに気付きました。

これらの攻撃の結果、3 つの異なるペイロードが配信されました。

  • ターゲット サーバーでシェル コマンドを実行してマルウェアをダウンロードするスクリプト
  • バイナリ ペイロードをファイルに書き込んで実行する、挿入されたコマンド
  • サーバーを再起動する挿入されたコマンド

これらの攻撃のほとんどは、Mirai、Gafgyt、Mozi、およびそれらの派生物などのボットネット マルウェア ファミリから発生しています。 2022 年 4 月、 Fodcha ボットネットが CVE-2021-35394 を悪用して分散型サービス妨害 (DDoS) 操作を行うことが発見されました。

RedGoBot も、9 月の攻撃で DDoS の目的でこの脆弱性を使用しました。このボットネットは、HTTP、ICMP、TCP、UDP、VSE、および OpenVPN プロトコルで DDoS 攻撃を実行でき、さまざまなフラッド手法をサポートしています。

Unit 42 は、CVE-2021-35394 を利用した世界中の活動を記録しましたが、攻撃のほぼ半分は米国からのものでした。

ただし、攻撃者は米国ベースの IP アドレスを使用してブロックリストを回避することを好むため、VPN とプロキシを使用すると、実際の送信元がわかりにくくなる可能性があります。

CVE-2021-35394 の攻撃傾向
CVE-2021-35394 (Unit 42)の攻撃傾向

「2021 年 8 月から 2022 年 12 月までの間に、CVE-2021-35394 を標的とした合計 1 億 3,400 万件のエクスプロイトの試みが観察されました。これらの攻撃の 97% は 2022 年 8 月の開始以降に発生しています」と Unit 42 のレポートは述べています。

「攻撃元として 30 を超える国際地域が関与しており、米国が全体の 48.3% を占める最大の攻撃元でした。ベトナム、ロシア、オランダ、フランス、ルクセンブルグ、ドイツも、これらの攻撃に参加している脅威アクターを観察した上位 7 か国に含まれていることが判明しました」 – Palo Alto Networks Unit 42

Realtek SDK の欠陥の詳細

CVE-2021-35394は、Realtek Jungle SDK バージョン 2.x から 3.4.14B の重大な (CVSS v3: 9.8) 脆弱性であり、リモートの認証されていない攻撃者が任意のコマンド インジェクションを実行できる複数のメモリ破損の欠陥が原因です。

Realtek は 2021 年 8 月 15 日にこの脆弱性を修正し、 CVE-2021-35395 のような他の重大な欠陥も修正しました。CVE-2021-35395 は、公開からわずか数日後にエクスプロイトを組み込んだボットネットによって広く標的にされ、最近では昨年 12 月にも修正されました。

Realtek チップセットは IoT の世界に遍在しており、台湾のチップ メーカーが製品の問題に迅速に対処するためにセキュリティ アップデートをプッシュしても、サプライ チェーンの複雑さによりエンド ユーザーへの提供が遅れます。

また、ユーザーは、デバイス ベンダーからファームウェアの更新が利用可能になった場合でも、ファームウェアの更新を無視することが多く、IoT デバイスを「設定したら忘れる」という考え方で扱います。

CVE-2021-35394 の影響を受けるベンダー
CVE-2021-35394 の影響を受けるベンダー(Unit 42)

Realtek がセキュリティ修正プログラムをリリースしてからほぼ 1 年以上後に CVE-2021-35394 の悪用が急増したことは、修正作業が遅れており、これに対する責任がベンダーとエンド ユーザーの間で共有されていることを示しています。

脆弱なデバイスの一部は、サポートされなくなっている可能性があります。場合によっては、ベンダーが修正を含むアップデートをリリースしたにもかかわらず、ユーザーがそれをインストールできなかったことがあります。ユーザーは、デバイスが影響を受けているかどうか、および CVE-2021-35394 に対処する利用可能なセキュリティ パッチがあるかどうかを確認する必要があります。

デバイスがすでに感染している場合は、出荷時設定にリセットし、強力な管理者パスワードを設定してから、利用可能なすべてのファームウェア アップデートを適用することをお勧めします。

CVE-2021-35394 のエクスプロイトは、サプライ チェーンのパッチ適用が複雑であり、セキュリティ問題の管理が大幅に遅れるため、2023 年前半は高いレベルにとどまると予想されます。