นักวิจัยจาก Unit 42 ของ Palo Alto Networks ได้ออกมาแจ้งเตือนถึงการค้นพบการโจมตีช่องโหว่ของ Realtek Jungle SDK ที่ทำให้สามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้
โดยช่องโหว่มีหมายเลข CVE-2021-35394 (คะแนน CVSS: 9.8 ระดับความรุนแรงสูงมาก) เป็นช่องโหว่ buffer overflows และ arbitrary command injection ที่สามารถถูกนำมาใช้เพื่อสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution) ด้วยสิทธิ์ระดับสูงสุด และเข้าควบคุมอุปกรณ์ IOT ที่มีช่องโหว่ได้
ช่องโหว่ CVE-2021-35394 ถูกเปิดเผยโดย ONEKEY (IoT Inspector) ในเดือนสิงหาคม 2564 ช่องโหว่ดังกล่าวส่งผลกระทบต่ออุปกรณ์ IOT หลากหลายประเภทตั้งแต่ D-Link, LG, Belkin, Belkin, ASUS และ NETGEAR
จากการรายงานของ Unit 42 พบว่ามีความพยายามในการโจมตีโดยใช้ช่องโหว่ดังกล่าวกว่า 134 ล้านครั้งในเดือนธันวาคม 2022 โดย 97% ของการโจมตีเกิดขึ้นในช่วงสี่เดือนที่ผ่านมา เกือบ 50% ของการโจมตีมาจากสหรัฐอเมริกา (48.3%) ตามมาด้วยเวียดนาม (17.8%) รัสเซีย (14.6%) เนเธอร์แลนด์ (7.4%) ฝรั่งเศส (6.4%) เยอรมนี (2.3%) และ ลักเซมเบิร์ก (1.6%) รวมไปถึง การโจมตีร้อยละ 95 มุ่งไปที่หน่วยงานด้านความมั่นคงของรัสเซียในออสเตรเลีย
โดยช่องโหว่ดังกล่าวถูกใช้จากกลุ่ม botnet ต่างๆ เช่น Mirai ,Gafgyt และ Mozi รวมถึง Distributed denial-of-service (DDoS) botnet ที่ใช้ภาษา Golang ที่มีชื่อว่า RedGoBot ซึ่งถูกพบครั้งแรกในเดือนกันยายน 2022 ซึ่งแคมเปญ RedGoBot ได้สร้าง shell script ที่ออกแบบมาให้สามารถใช้ได้กับทุกสถาปัตยกรรม CPU ที่แตกต่างกัน เมื่อเหยื่อเปิดไฟล์ ตัวมัลแวร์จะติดตั้งเพื่อรันคำสั่งระบบปฏิบัติการ และติดตั้งการโจมตี DDoS ต่อไป โดยได้อธิบายการโจมตีไว้ดังนี้
- ฝังสคริปต์เรียกใช้ shell command บนเซิร์ฟเวอร์ของเป้าหมาย เพื่อดาวน์โหลดมัลแวร์เพิ่มเติม
- แทรกคำสั่งที่เขียนเพย์โหลดไบนารีลงในไฟล์ และเรียกใช้งาน
- แทรกคำสั่งที่จะรีบูตเซิร์ฟเวอร์ของเป้าหมาย ทำให้เกิดเงื่อนไข Denial-of-service (DoS)
วิธีการป้องกัน
- ผู้ที่ใช้อุปกรณ์ IOT ที่ได้รับผลกระทบจากช่องโหว่ ควรเร่งอัปเดตเพื่อปิดช่องโหว่ทันที
ที่มา : thehackernews
You must be logged in to post a comment.