本月稍早安全厂商披露瑞昱半导体的无线芯片SDK存在多项安全漏洞,影响65家IoT厂商,本周另外二家安全企业相信,已经有黑客盯上采用Realtek芯片的IoT设备,企图感染僵尸网络程序。
安全厂商Radware上周发现一只僵尸网络程序Dark.IoT的攻击活动。他们是在今年二月首次发现这只僵尸网络程序,并依程序二进制档以攻击对象种类命名的手法,称之为Dark.IoT。8月间,他们发现这只恶意程序将CVE-2021-35395纳入其开采的对象。这正是稍早被IoT Inspectors公开的Realtek芯片SDK 10多项漏洞中的一项。
根据瑞昱的说明,CVE-2021-35395是一项拒绝服务(Denial of Service)漏洞,发生在HTTP Web server“boa”对传入的HTTP调用中的参数验证不足,攻击者可加入过长的调用参数来引发缓冲溢出,进而导致设备服务毁损、中断服务。CVE-2021-35395的CVSS 3.0风险值高达9.8。
瑞昱已经发布新版SDK,以修补有问题的版本。
Palo Alto今年三月发现,Dark.IoT进入受害系统中会删除/tmp及 /var/文件夹的记录文件以隐藏攻击行踪。它的shell script还会终止设备上的合法防护行程,以便下载Dark.IoT二进制档。
Radware研究人员Daniel Smith指出,Dark.IoT的操作组织是等着白帽黑客公布新漏洞及概念验证(PoC)才出手,在几天内将新漏洞纳编进化其僵尸网络。但另一方面纳编CVE-2021-35395,还需要路径穿越(path traversal)漏洞结合恶意组态档注入手法,这需要相当功力,显示他们不是写程序作乱的外行人。
研究人员相信Dark.IoT和Mirai变种背后是同一个黑客组织。事实上,CVE-2021-35395可能更早就让用户曝险。以色列安全公司SAM Seamless Network另外还发现,黑客开采CVE-2021-35395以植入Mirai变种。
Mirai变种今年以来活动猖獗。Palo Alto及Tenable公司分别发现Mirai变种攻击锁定多种IoT设备,包括使用智易科技(Arcadyan)固件的37款路由器设备。