Peretas telah memanfaatkan kerentanan Remote Code Execution yang kritis di Realtek Jungle SDK sebanyak 134 juta serangan yang mencoba menginfeksi perangkat pintar pada paruh kedua tahun 2022. Dieksploitasi oleh beberapa aktor ancaman, kerentanan dilacak sebagai CVE-2021-35394 dan dilengkapi dengan skor keparahan 9,8 dari 10.
.
.
Mulai September 2022, malware botnet baru yang cukup besar bernama 'RedGoBot' muncul di alam liar yang menargetkan perangkat IoT yang rentan terhadap CVE-2021-35394.Para peneliti di Palo Alto Network, memperhatikan bahwa eksploitasi cacat berlanjut sepanjang Desember.
Tiga muatan berbeda dikirimkan sebagai akibat dari serangan ini:
1. skrip yang menjalankan perintah shell pada server target untuk mengunduh malware
2. perintah yang disuntikkan yang menulis muatan biner ke file dan mengeksekusinya
3. perintah yang disuntikkan yang me-reboot server
Tiga muatan berbeda dikirimkan sebagai akibat dari serangan ini:
1. skrip yang menjalankan perintah shell pada server target untuk mengunduh malware
2. perintah yang disuntikkan yang menulis muatan biner ke file dan mengeksekusinya
3. perintah yang disuntikkan yang me-reboot server
.
Sebagian besar serangan ini berasal dari keluarga malware botnet seperti Mirai, Gafgyt, Mozi, dan turunannya. Pada April 2022, botnet Fodcha terlihat mengeksploitasi CVE-2021-35394 untuk operasi distributed denial-of-service (DDoS).
.
RedGoBot juga menggunakan kerentanan untuk tujuan DDoS dalam serangan pada bulan September. Botnet dapat melakukan serangan DDoS pada protokol HTTP, ICMP, TCP, UDP, VSE dan OpenVPN dan mendukung berbagai metode banjir.
.
Peneliti mencatat aktivitas yang memanfaatkan CVE-2021-35394 dari seluruh dunia tetapi hampir setengah dari serangan berasal dari Amerika Serikat.
.
Namun, menggunakan VPN dan proxy dapat mengaburkan sumber sebenarnya, karena aktor ancaman lebih suka menggunakan alamat IP yang berbasis di AS untuk menghindari daftar blokir.
.
"Dari Agustus 2021 hingga Desember 2022, kami telah mengamati total 134 juta upaya eksploitasi, menargetkan CVE-2021-35394, dengan 97% dari serangan ini terjadi setelah awal Agustus 2022," bunyi laporan Peneliti.
.
CVE-2021-35394 adalah kerentanan kritis (CVSS v3: 9.8) di Realtek Jungle SDK versi 2.x hingga 3.4.14B, yang disebabkan oleh beberapa kelemahan kerusakan memori yang memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk melakukan injeksi perintah sewenang-wenang.
.
Realtek memperbaiki kekurangannya pada 15 Agustus 2021, bersama dengan kelemahan keparahan kritis lainnya seperti CVE-2021-35395, yang secara luas ditargetkan oleh botnet yang menggabungkan eksploitasi hanya beberapa hari setelah pengungkapannya, dan baru-baru ini pada Desember lalu.
.
Chipset Realtek ada di mana-mana di dunia IoT, dan bahkan ketika pembuat chip Taiwan mendorong pembaruan keamanan untuk mengatasi masalah dalam produknya dengan cepat, kompleksitas rantai pasokan menunda pengirimannya ke pengguna akhir.
.
Selain itu, pengguna sering mengabaikan pembaruan firmware bahkan ketika pembaruan tersebut tersedia dari vendor perangkat mereka, dan banyak yang memperlakukan perangkat IoT dengan pola pikir "atur dan lupakan".
.
Lonjakan eksploitasi CVE-2021-35394 hampir lebih dari setahun setelah Realtek merilis perbaikan keamanan menunjukkan bahwa upaya remediasi tertinggal dan kesalahan untuk ini dibagi antara vendor dan pengguna akhir.
.
Beberapa perangkat yang rentan mungkin tidak lagi didukung. Dalam beberapa kasus, vendor mungkin telah merilis pembaruan dengan perbaikan tetapi pengguna gagal menginstalnya. Pengguna harus memeriksa apakah perangkat mereka terpengaruh dan apakah ada patch keamanan yang tersedia yang membahas CVE-2021-35394.
.
Jika perangkat Anda telah terinfeksi, rekomendasinya adalah melakukan reset pabrik, mengatur kata sandi administrator yang kuat, dan kemudian menerapkan semua pembaruan firmware yang tersedia.
.
Mengeksploitasi CVE-2021-35394 diperkirakan akan tetap pada tingkat tinggi pada paruh pertama tahun 2023 karena kompleksitas dalam penambalan rantai pasokan yang menyebabkan penundaan besar-besaran dalam mengelola masalah keamanan.
sumber
Sebagian besar serangan ini berasal dari keluarga malware botnet seperti Mirai, Gafgyt, Mozi, dan turunannya. Pada April 2022, botnet Fodcha terlihat mengeksploitasi CVE-2021-35394 untuk operasi distributed denial-of-service (DDoS).
.
RedGoBot juga menggunakan kerentanan untuk tujuan DDoS dalam serangan pada bulan September. Botnet dapat melakukan serangan DDoS pada protokol HTTP, ICMP, TCP, UDP, VSE dan OpenVPN dan mendukung berbagai metode banjir.
.
Peneliti mencatat aktivitas yang memanfaatkan CVE-2021-35394 dari seluruh dunia tetapi hampir setengah dari serangan berasal dari Amerika Serikat.
.
Namun, menggunakan VPN dan proxy dapat mengaburkan sumber sebenarnya, karena aktor ancaman lebih suka menggunakan alamat IP yang berbasis di AS untuk menghindari daftar blokir.
.
"Dari Agustus 2021 hingga Desember 2022, kami telah mengamati total 134 juta upaya eksploitasi, menargetkan CVE-2021-35394, dengan 97% dari serangan ini terjadi setelah awal Agustus 2022," bunyi laporan Peneliti.
.
CVE-2021-35394 adalah kerentanan kritis (CVSS v3: 9.8) di Realtek Jungle SDK versi 2.x hingga 3.4.14B, yang disebabkan oleh beberapa kelemahan kerusakan memori yang memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk melakukan injeksi perintah sewenang-wenang.
.
Realtek memperbaiki kekurangannya pada 15 Agustus 2021, bersama dengan kelemahan keparahan kritis lainnya seperti CVE-2021-35395, yang secara luas ditargetkan oleh botnet yang menggabungkan eksploitasi hanya beberapa hari setelah pengungkapannya, dan baru-baru ini pada Desember lalu.
.
Chipset Realtek ada di mana-mana di dunia IoT, dan bahkan ketika pembuat chip Taiwan mendorong pembaruan keamanan untuk mengatasi masalah dalam produknya dengan cepat, kompleksitas rantai pasokan menunda pengirimannya ke pengguna akhir.
.
Selain itu, pengguna sering mengabaikan pembaruan firmware bahkan ketika pembaruan tersebut tersedia dari vendor perangkat mereka, dan banyak yang memperlakukan perangkat IoT dengan pola pikir "atur dan lupakan".
.
Lonjakan eksploitasi CVE-2021-35394 hampir lebih dari setahun setelah Realtek merilis perbaikan keamanan menunjukkan bahwa upaya remediasi tertinggal dan kesalahan untuk ini dibagi antara vendor dan pengguna akhir.
.
Beberapa perangkat yang rentan mungkin tidak lagi didukung. Dalam beberapa kasus, vendor mungkin telah merilis pembaruan dengan perbaikan tetapi pengguna gagal menginstalnya. Pengguna harus memeriksa apakah perangkat mereka terpengaruh dan apakah ada patch keamanan yang tersedia yang membahas CVE-2021-35394.
.
Jika perangkat Anda telah terinfeksi, rekomendasinya adalah melakukan reset pabrik, mengatur kata sandi administrator yang kuat, dan kemudian menerapkan semua pembaruan firmware yang tersedia.
.
Mengeksploitasi CVE-2021-35394 diperkirakan akan tetap pada tingkat tinggi pada paruh pertama tahun 2023 karena kompleksitas dalam penambalan rantai pasokan yang menyebabkan penundaan besar-besaran dalam mengelola masalah keamanan.
sumber