Небезпечна уразливість в наборах мікросхем Realtek, які присутні в сотнях тисяч розумних пристроїв принаймні від 65 постачальників, наразі використовується для атак з боку однієї великої групи DDoS-ботнетів. Про це пише TheRecord.
Згідно зі звітом фірми SAM, що займається безпекою Інтернету речей, атаки розпочалися минулого тижня і почалися через три дні після того, як інша фірма з кібербезпеки IoT Inspector опублікувала подробиці про вразливість у своєму блозі.
Уразливість, що відслідковується як CVE-2021-35395, є частиною чотирьох проблем, які дослідники IoT Inspector виявили у наборі для розробки програмного забезпечення (SDK), що поставляється з декількома чипсетами Realtek (SoC). Ці чипи виробляються компанією Realtek, і вони поставляються іншим компаніям, які потім використовують їх як базову плату System-on-Chip (SoC) для власних пристроїв, при цьому Realtek SDK служить конфігуратором і відправною точкою для їх власної прошивки.
Представники IoT Inspector вони виявили більше 200 різних моделей пристроїв принаймні від 65 різних постачальників, які були побудовані на цих мікросхемах і використовували вразливий SDK. За оцінками, під загрозою опинилися кілька сотень тисяч підключених до Інтернету пристроїв, включаючи маршрутизатори, мережеві шлюзи, ретранслятори Wi-Fi, IP-камери, розумне освітлення та навіть іграшки, підключені до Інтернету. З чотирьох проблем, виявлених дослідницькою групою IoT Inspector, уразливість CVE-2021-35395 отримала найвищий рейтинг серйозності-9,8 з 10 за шкалою тяжкості CVSSv3.
За даними дослідницької групи, вразливість, яка міститься у веб -панелі, що використовується для налаштування SDK/пристрою, дозволила віддаленому зловмиснику підключитися до цих пристроїв за допомогою неправильно налаштованих параметрів веб-панелі URL, обійти автентифікацію та запустити шкідливий код з найвищими правами, ефективно захопивши пристрій.
Хоча Realtek випустив виправлення до того, як IoT Inspector опублікувала свої висновки минулого тижня, це було занадто малим періодом часу для постачальників пристроїв, щоб розгортати оновлення системи безпеки для своїх клієнтів. Це означає, що сьогодні на переважній більшості цих пристроїв все ще працюють застарілі прошивки (і застарілий пакет SDK Realtek), через які йдуть атаки.
За даними SAM, експлуатація вразливості розпочалася незабаром після публікації результаті дослідження і першим це розпочав ботнет Mirai, який за тиждень до цього використав подібну мега-помилку в мільйонах маршрутизаторів з прошивкою на базі Arcadyan.
Дослідницька група SAM заявила, що за результатами їхнього власного сканування, найпоширеніші моделі пристроїв, на яких зараз працює вразливий пакет SDK Realtek, включають:
- Подовжувач Netis E1+;
- Маршрутизатор Wi-Fi Edimax N150 та N300;
- Маршрутизатор Repotec RP-WR5444.
Власники таких пристроїв повинні шукати або запитувати у продавців нові патчі прошивки. Повний список уразливих пристроїв наведено нижче у таблиці:
| Виробник | Уразливі моделі пристроїв |
|---|---|
| A-Link Europe Ltd | A-Link WNAP WNAP(b) |
| ARRIS Group, Inc | VAP4402_CALA |
| Airlive Corp. | WN-250R WN-350R |
| Abocom System Inc. | Wireless Router ? |
| AIgital | Wifi Range Extenders |
| Amped Wireless | AP20000G |
| Askey | AP5100W |
| ASUSTek Computer Inc. | RT-Nxx models, WL330-NUL Wireless WPS Router RT-N10E Wireless WPS Router RT-N10LX Wireless WPS Router RT-N12E Wireless WPS Router RT-N12LX |
| BEST ONE TECHNOLOGY CO., LTD. | AP-BNC-800 |
| Beeline | Smart Box v1 |
| Belkin | F9K1015 AC1200DB Wireless Router F9K1113 v4 AC1200FE Wireless Router F9K1123 AC750 Wireless Router F9K1116 N300WRX N600DB |
| Buffalo Inc. | WEX-1166DHP2 WEX-1166DHPS WEX-300HPS WEX-733DHPS WMR-433 WSR-1166DHP3 WSR-1166DHP4 WSR-1166DHPL WSR-1166DHPL2 |
| Calix Inc. | 804Mesh |
| China Mobile Communication Corp. | AN1202L |
| Compal Broadband Networks, INC. | CH66xx cable modems line. |
| D-Link | DIR-XXX models based on rlx-linux DAP-XXX models based on rlx-linux DIR-300 DIR-501 DIR-600L DIR-605C DIR-605L DIR-615 DIR-618 DIR-618b DIR-619 DIR-619L DIR-809 DIR-813 DIR-815 DIR-820L DIR-825 DIR-825AC DIR-825ACG1 DIR-842 DAP-1155 DAP-1155 A1 DAP-1360 C1 DAP-1360 B1 DSL-2640U DSL-2750U DSL_2640U VoIP Router DVG-2102S VoIP Router DVG-5004S VoIP Router DVG-N5402GF VoIP Router DVG-N5402SP VoIP Router DVG-N5412SP Wireless VoIP Device DVG-N5402SP |
| DASAN Networks | H150N |
| Davolink Inc. | DVW2700 1 DVW2700L 1 |
| Edge-core | VoIP Router ECG4510-05E-R01 |
| Edimax | RE-7438 BR6478N Wireless Router BR-6428nS N150 Wireless Router BR6228GNS N300 Wireless Router BR6428NS BR-6228nS/nC |
| Edison | Невідомо |
| EnGenius Technologies, Inc. | 11N Wireless Router Wireless AP Router |
| ELECOM Co.,LTD. | WRC-1467GHBK WRC-1900GHBK WRC-300FEBK-A WRC-733FEBK-A |
| Esson Technology Inc. | Wifi Module ESM8196 – https://fccid.io/RKOESM8196 (та інші пристрої з цим wifi-модулем) |
| EZ-NET Ubiquitous Corp. | NEXT-7004N |
| FIDA | PRN3005L D5 |
| Hama | Невідомо |
| Hawking Technologies, Inc. | HAWNR3 |
| MT-Link | MT-WR600N |
| I-O DATA DEVICE, INC. | WN-AC1167R WN-G300GR |
| iCotera | i6800 |
| IGD | 1T1R |
| LG International | Axler Router LGI-R104N Axler Router LGI-R104T Axler Router LGI-X501 Axler Router LGI-X502 Axler Router LGI-X503 Axler Router LGI-X601 Axler Router LGI-X602 Axler Router RT-DSE |
| LINK-NET TECHNOLOGY CO., LTD. | LW-N664R2 LW-U31 LW-U700 |
| Logitec | BR6428GNS LAN-W300N3L |
| MMC Technology | MM01-005H MM02-005H |
| MT-Link | MT-WR730N MT-WR760N MT-WR761N MT-WR761N+ MT-WR860N |
| NetComm Wireless | NF15ACV |
| Netis | WF2411 WF2411I WF2411R WF2419 WF2419I WF2419R WF2681 |
| Netgear | N300R |
| Nexxt Solutions | AEIEL304A1 AEIEL304U2 ARNEL304U1 |
| Observa Telecom | RTA01 |
| Occtel | VoIP Router ODC201AC VoIP Router OGC200W VoIP Router ONC200W VoIP Router SP300-DS VoIP Router SP5220SO VoIP Router SP5220SP |
| Omega Technology | Wireless N Router O31 OWLR151U Wireless N Router O70 OWLR307U |
| PATECH | Axler RT-TSE Axler Router R104 Axler Router R3 Axler Router X503 Axler Router X603 LotteMart Router 104L LotteMart Router 502L LotteMart Router 503L Router P104S Router P501 |
| PLANEX COMMUNICATIONS INC. Planex Communications Corp. |
MZK-MF300N MZK-MR150 MZK-W300NH3 MZK-W300NR MZK-WNHR |
| PLANET Technology | VIP-281SW |
| Realtek | RTL8196C EV-2009-02-06 RTL8xxx EV-2009-02-06 RTL8xxx EV-2010-09-20 RTL8186 EV-2006-07-27 RTL8671 EV-2006-07-27 RTL8671 EV-2010-09-20 RTL8xxx EV-2006-07-27 RTL8xxx EV-2009-02-06 RTL8xxx EV-2010-09-20 |
| Revogi Systems | |
| Sitecom Europe BV | Sitecom Wireless Gigabit Router WLR-4001 Sitecom Wireless Router 150N X1 150N Sitecom Wireless Router 300N X2 300N Sitecom Wireless Router 300N X3 300N |
| Skystation | CWR-GN150S |
| Sercomm Corp. | Telmex Infinitum |
| Shaghal Ltd. | ERACN300 |
| Shenzhen Yichen (JCG) Technology Development Co., Ltd. | JYR-N490 |
| Skyworth Digital Technology. | Mesh Router |
| Smartlink | Невідомо |
| TCL Communication | Невідомо |
| Technicolor | TD5137 |
| Telewell | TW-EAV510 |
| Tenda | AC6, AC10, W6, W9, i21 |
| Totolink | A300R |
| TRENDnet, Inc. TRENDnet Technology, Corp. |
TEW-651BR TEW-637AP TEW-638APB TEW-831DR |
| UPVEL | UR-315BN |
| ZTE | MF253V, MF910 |
| Zyxel | P-330W X150N NBG-2105 NBG-416N AP Router NBG-418N AP Router WAP6804 |
Чому три випадкових слова – це найкращий пароль? ІНСТРУКЦІЯ
Як не стати жертвою програм-вимагачів? ПОРАДИ
Якими будуть нові смартфони Galaxy Z Fold 3 та Z Flip 3? ОГЛЯД
Як уникнути шахрайських схем із використанням deepfake-відео? ПОРАДИ
Навіщо інші антивіруси, якщо у Вас є Windows Defender? ПОРАДИ
Як налаштувати режим “Не турбувати” на телефонах Samsung Galaxy? – ІНСТРУКЦІЯ
Нагадаємо, ізраїльський виробник рішень для верифікації та забезпечення прозорості в мобільних та online-екосистемах GeoEdge повідомив про виявлення першої у світі кібератаки на домашні IoT-пристрої з використанням шкідливої реклами.
Також баг на офіційному сайті виробника автомобілів Ford Motor відкривав конфіденційні дані, доступ до яких міг отримати будь-який хакер. Серед інформації були бази даних клієнтів, відомості про співробітників тощо.
Окрім цього, американська трубопровідна компанія Colonial Pipeline виплатила 4,4 мільйона доларів хакерам, які викрали особисті дані майже 6 тисячам нинішніх та колишніх працівників компанії. Colonial Pipeline була вимушена сплатити викуп через ймовірність загрози газової кризи.
І майже анекдотична ситуація трапилася із розробником шкідливих програм, який розпочав їх тестування у своїй системі, щоб випробувати нові функції, а згодом дані потрапили на розвідувальну платформу хакерів. Мова йде про розробника Raccoon – трояна-викрадача інформації, який може збирати дані з десятків програм.
