Realtek SDK漏洞被发现用来传播Mirai bot变体 受影响设备包括中兴、华硕等

SAM Seamless Network 研究人员警告称，自从Realtek SDK漏洞的技术细节被公开以来，威胁行为者正在积极利用这些漏洞。

8月15日，Realtek发布了一份安全建议，警告客户进行安全更新，以解决其软件开发工具包(SDK)中的漏洞。目前，至少有65家独立供应商在使用该工具包。固件安全公司 IoT Inspector发布了有关漏洞的详细信息。

自8月18日以来，SAM Seamless Network观察到威胁行为者利用这些漏洞。物联网检察员称，8月16日实验室披露了作为Realtek 芯片组一部分分发的软件SDK中的多个漏洞。在发布两天后，家庭安全解决方案组检测到利用这些漏洞传播Mirai 恶意软件变体的意图。

其中一个漏洞是CVE-2021-35395[2]，它影响SDK的web界面，是6个不同漏洞的集合。截至8月18日，已在野发现了试图利用CVE-2021-35395的企图。

IoT Inspector的专家在使用其RTL8xxx芯片的公司使用的Realtek SDK中发现了十多个漏洞。专家报告称，其中一些漏洞可能会让远程、未经认证的攻击者完全控制脆弱的设备。

“在IoT Inspector的固件分析平台的支持下，我们对这些二进制文件进行了漏洞研究，并确定了十多个漏洞——从命令注入到影响UPnP、HTTP(管理web界面)和Realtek定制网络服务的内存损坏。物联网检查员称。

通过利用这些漏洞，远程未经身份验证的攻击者可以完全危及目标设备，并以最高权限执行任意代码。目前确定了至少65个不同的受影响供应商，拥有近200个独特的指纹。

受影响的设备实现了无线功能并涵盖了广泛的用例：从家用网关、旅行路由器、Wi-Fi中继器、IP摄像机到智能闪电网关，甚至是联网玩具。

受影响的设备包括来自华硕、贝尔金、D-Link、华为、LG、罗技、Netgear、中兴和Zyxel等多个品牌的路由器、IP摄像头、Wi-Fi 中继器和家用网关。

这些漏洞被统称为CVE-2021-35392、CVE-2021-35393、CVE-2021-35394 和 CVE-2021-35395，SAM 专家观察到 CVE-2021-35395 已被广泛利用来传播Mirai机器人。

Mirai是一个臭名昭著的物联网和路由器恶意软件，在过去5年里以各种形式传播。它最初是用来关闭互联网，但后来为不同的目的发展成了许多变体。到去年3月，在野观察到了60多种变体。随着针对Realtek SDK缺陷的最新迭代，这个数字仍在攀升。

目标设备

SAM 表示，最容易受到 Realtek SDK 漏洞影响的设备是：

Netis E1+ 扩展器

Edimax N150 和 N300 Wi-F 路由器

Repotec RP-WR5444 路由器

就在Realtek披露后一天，Mandiant与网络安全和基础设施安全局 (CISA)报告了物联网云平台ThroughTek Kalay中的一个缺陷。该漏洞可能允许攻击者接管物联网设备以收听现场音频、观看实时视频等。

而此次参与攻击的Mirai变体与Palo Alto Networks研究人员在3月份发现的相同。今年3月，该机器人一直在利用10个漏洞来劫持物联网设备。

8月6日，Juniper Networks报告称，威胁行为者正在积极利用一个关键的身份验证绕过漏洞，追踪到该漏洞为CVE-2021-20090，影响使用Arcadyan固件的家庭路由器，以部署Mirai机器人，与利用CVE-2021-35395漏洞的相同变种。

预计未来几年物联网设备的数量将超过750亿台，网络犯罪分子可以利用的问题和漏洞数量也会相应增加。物联网网络复杂、模糊又极易发生供应链攻击，使其面临巨大威胁。尽管发生问题时和供应商有很大关系，但更重要的是用户在使用时如何加强安全防御能力，同时提高对供应商软件安全性的相关要求。尤其90%的网络安全问题是由软件自身安全漏洞被利用导致的，因此在软件开发期间通过安全可信的工具对源代码检测及修复，可以有效降低软件安全漏洞，同时也应将其作为软件供应商交付产品时的一个验收标准。

参读链接：

https://securityaffairs.co/wordpress/121400/cyber-crime/realtek-sdk-flaws-mirai-bot.html

https://threatpost.com/attackers-exploiting-realtek/168856/