Intentos de explotación RCE en millones dispositivos IoT por vulnerabilidad Realtek Jungle SDK.

Se ha presenciado un incremento en los intentos de explotación de una falla crítica de ejecución remota de código en Realtek Jungle SDK desde los últimos cuatro meses del 2022.

Los investigadores de Palo Alto Networks Unit 42 han registrado cerca de 134 millones de intentos hasta diciembre del 2022, de los cuales el 48.3% de los ataques se originaron en U.S., un 17.8% en Vietnan, 14.6% en Rusia, 7.4% en Países Bajos, 6.4$ en Francia, 2.3% en Alemania y 1.6% en Luxemburgo.

Muchos de los ataques observados intentaron entregar malware para infectar dispositivos IoT vulnerables, los grupos de amenazas están utilizando esta vulnerabilidad para llevar a cabo ataques a gran escala en dispositivos inteligentes en todo el mundo. Debido a que los dispositivos y enrutadores de IoT a menudo no se consideran parte de la postura de seguridad de una organización, muchos dispositivos y organizaciones aún podrían estar en riesgo.

La vulnerabilidad en cuestión es CVE-2021-35394 (puntaje CVSS: 9.8), afecta a Realtek Jungle SDK versión v2.x hasta v3.4.14B, proporciona una herramienta de diagnóstico llamada ‘MP Daemon’ que generalmente se compila como binario ‘UDPServer’ y se ve afectada por múltiples vulnerabilidades de desbordamiento de búfer y una vulnerabilidad de inyección de comando arbitraria, debido a una detección de legalidad insuficiente en los comandos recibidos de los clientes.

El vector de ataque consiste en elaborar argumentos demasiado largos o inválidos en una solicitud específica. La vulnerabilidad afecta a una amplia gama de dispositivos de D-Link, LG, Belkin, Belkin, Zyxel, ASUS y NETGEAR.

Se descubrió tres tipos diferentes de cargas útiles distribuidas como resultado de la explotación de la falla:

  • Un script ejecuta un comando de shell en el servidor de destino para descargar malware adicional.
  • Un comando inyectado que escribe una carga útil binaria en un archivo y lo ejecuta.
  • Un comando inyectado que reinicia directamente el servidor de destino para provocar una condición de denegación de servicio (DoS).

Según los ataques que se han observado, la mayoría de las muestras de malware provienen de familias de malware conocidas como Mirai, Gafgyt y Mozi. También se observó un nuevo botnet de denegación de servicio distribuido (DDoS) desarrollado en Golang, llamado RedGoBot con SHA256: 26e96945ee32199536d4c85124a24c28e853b557eb31f3907d19f08b9798dff4.

El cliente de botnet puede aceptar los siguientes comandos de canal de comando y control (C2).

CommandDescription
execRemote OS command execution
attackLaunch DDoS attacks
kill-botTerminate bot client execution
update-botNo related function for updating

Después de recibir el comando de ataque del operador de amenazas, RedGoBot puede realizar ataques DDoS en los protocolos HTTP, ICMP, TCP, UDP, VSE y OpenVPN.

Las siguientes direcciones IP fueron los 12 principales creadores de ataques dirigidos a CVE-2021-35394.

IPRegión de origen del ataque# de ataques (millones)
199.195.251[.]190Estados Unidos39.8
172.81.41[.]196Estados Unidos17.2
103.149.137[.]124Vietnam10.6
103.149.137[.]138Vietnam10.5
46.249.32[.]181Los países bajos9.9
37.44.238[.]148Francia1.7
37.44.238[.]185Francia1.3
37.44.238[.]217Francia1.2
69.67.150[.]36Estados Unidos1.2
37.44.238[.]144Francia1.2
103.149.137[.]192Vietnam1.2
185.122.204[.]30Rusia1.1

Indicadores de compromiso

IP maliciosas

199[.]195[.]251[.]190195[.]133[.]81[.]29
172[.]81[.]41[.]1965[.]253[.]246[.]67
103[.]149[.]137[.]12445[.]61[.]184[.]133
103[.]149[.]137[.]13845[.]61[.]184[.]118
46[.]249[.]32[.]181149[.]5[.]173[.]33
69[.]67[.]150[.]36163[.]123[.]143[.]226
103[.]149[.]137[.]19245[.]61[.]188[.]148
45[.]125[.]236[.]14103[.]207[.]38[.]165
173[.]247[.]227[.]6645[.]13[.]227[.]115
173[.]247[.]227[.]70176[.]97[.]210[.]147
185[.]122[.]204[.]30163[.]123[.]143[.]200
45[.]95[.]55[.]188185[.]44[.]81[.]62
2[.]58[.]113[.]7938[.]22[.]109[.]7
45[.]95[.]55[.]24147[.]182[.]132[.]144
45[.]95[.]55[.]218205[.]185[.]126[.]88
45[.]95[.]55[.]189209[.]141[.]51[.]43
193[.]142[.]146[.]35198[.]98[.]52[.]213
37[.]139[.]129[.]1145[.]95[.]55[.]185
78[.]135[.]85[.]7020[.]249[.]89[.]181
45[.]137[.]21[.]1663[.]235[.]28[.]168
195[.]178[.]120[.]183 

URL de devolución de llamada

  • hxxp://185.205.12[.]157/trc/TRC[.]mpsl
  • hxxp://172.81.41[.]196/trc/TRC[.]mpsl
  • hxxp://135.148.104[.]21/ mipsel
  • hxxp://199.195.251[.]190/trc/TRC[.]mpsl
  • hxxp://37.44.238[.]178/d/xd[.]mpsl
  • hxxp://176.97.210[.]135 /asaltante[.]mpsl
  • hxxp://198.98.56[.]129/trc/TRC[.]mpsl
  • hxxp://141.98.6[.]249/billy[.]sh
  • hxxp://185.216.71[ .]157/Bins_Bot_hicore_mipsle
  • hxxp://45[.]140[.]141[.]205/bins/sora[.]mpsl

Recomendaciones

  • Si tiene dispositivos IoT o de red de la lista de proveedores antes mencionada buscar las últimas actualizaciones o parches de software.
  • Aplicar parches y actualizaciones con regularidad en los dispositivos inteligentes, así como en los dispositivos móviles y de escritorio tradicionales, siempre que sea posible, para garantizar la mejor protección.

Referencias