圖片來源: 

瑞昱半導體

本月稍早安全廠商揭露瑞昱半導體的無線晶片SDK存在多項安全漏洞,影響65家IoT廠商,本周另外二家安全業者相信,已經有駭客盯上採用Realtek晶片的IoT裝置,企圖感染殭屍網路程式。

安全廠商Radware上周發現一隻殭屍網路程式Dark.IoT的攻擊活動。他們是在今年二月首次發現這隻殭屍網路程式,並依程式二進位檔以攻擊對象種類命名的手法,稱之為Dark.IoT。8月間,他們發現這隻惡意程式將CVE-2021-35395納入其開採的對象。這正是稍早被IoT Inspectors公開的Realtek晶片SDK 10多項漏洞中的一項。

根據瑞昱的說明,CVE-2021-35395是一項阻斷服務(Denial of Service)漏洞,發生在HTTP Web server “boa”對傳入的HTTP呼叫中的引數驗證不足,攻擊者可加入過長的呼叫引數來引發緩衝溢位,進而導致裝置服務毁損、中斷服務。CVE-2021-35395的CVSS 3.0風險值高達9.8

瑞昱已經釋出新版SDK,以修補有問題的版本。

Palo Alto今年三月發現,Dark.IoT進入受害系統中會刪除/tmp 及 /var/資料夾的紀錄檔以隱藏攻擊行蹤。它的shell script還會終止裝置上的合法防護行程,以便下載Dark.IoT二進位檔。

Radware研究人員Daniel Smith指出,Dark.IoT的操作組織是等著白帽駭客公佈新漏洞及概念驗證(PoC)才出手,在幾天內將新漏洞納編進化其殭屍網路。但另一方面納編CVE-2021-35395,還需要路徑穿越(path traversal)漏洞結合惡意組態檔注入手法,這需要相當功力,顯示他們不是寫程式作亂的外行人。

研究人員相信Dark.IoT和Mirai變種背後是同一個駭客組織。事實上,CVE-2021-35395可能更早就讓用戶曝險。以色列安全公司SAM Seamless Network另外還發現,駭客開採CVE-2021-35395以植入Mirai變種。

Mirai變種今年以來活動猖獗。Palo AltoTenable公司分別發現Mirai變種攻擊鎖定多種IoT設備,包括使用智易科技(Arcadyan)韌體的37款路由器設備。


熱門新聞

Advertisement