Se ha presenciado un incremento en los intentos de explotación de una falla crítica de ejecución remota de código en Realtek Jungle SDK desde los últimos cuatro meses del 2022.
Los investigadores de Palo Alto Networks Unit 42 han registrado cerca de 134 millones de intentos hasta diciembre del 2022, de los cuales el 48.3% de los ataques se originaron en U.S., un 17.8% en Vietnan, 14.6% en Rusia, 7.4% en Países Bajos, 6.4$ en Francia, 2.3% en Alemania y 1.6% en Luxemburgo.
Muchos de los ataques observados intentaron entregar malware para infectar dispositivos IoT vulnerables, los grupos de amenazas están utilizando esta vulnerabilidad para llevar a cabo ataques a gran escala en dispositivos inteligentes en todo el mundo. Debido a que los dispositivos y enrutadores de IoT a menudo no se consideran parte de la postura de seguridad de una organización, muchos dispositivos y organizaciones aún podrían estar en riesgo.
La vulnerabilidad en cuestión es CVE-2021-35394 (puntaje CVSS: 9.8), afecta a Realtek Jungle SDK versión v2.x hasta v3.4.14B, proporciona una herramienta de diagnóstico llamada ‘MP Daemon’ que generalmente se compila como binario ‘UDPServer’ y se ve afectada por múltiples vulnerabilidades de desbordamiento de búfer y una vulnerabilidad de inyección de comando arbitraria, debido a una detección de legalidad insuficiente en los comandos recibidos de los clientes.
El vector de ataque consiste en elaborar argumentos demasiado largos o inválidos en una solicitud específica. La vulnerabilidad afecta a una amplia gama de dispositivos de D-Link, LG, Belkin, Belkin, Zyxel, ASUS y NETGEAR.
Se descubrió tres tipos diferentes de cargas útiles distribuidas como resultado de la explotación de la falla:
- Un script ejecuta un comando de shell en el servidor de destino para descargar malware adicional.
- Un comando inyectado que escribe una carga útil binaria en un archivo y lo ejecuta.
- Un comando inyectado que reinicia directamente el servidor de destino para provocar una condición de denegación de servicio (DoS).
Según los ataques que se han observado, la mayoría de las muestras de malware provienen de familias de malware conocidas como Mirai, Gafgyt y Mozi. También se observó un nuevo botnet de denegación de servicio distribuido (DDoS) desarrollado en Golang, llamado RedGoBot con SHA256: 26e96945ee32199536d4c85124a24c28e853b557eb31f3907d19f08b9798dff4.
El cliente de botnet puede aceptar los siguientes comandos de canal de comando y control (C2).
| Command | Description |
| exec | Remote OS command execution |
| attack | Launch DDoS attacks |
| kill-bot | Terminate bot client execution |
| update-bot | No related function for updating |
Después de recibir el comando de ataque del operador de amenazas, RedGoBot puede realizar ataques DDoS en los protocolos HTTP, ICMP, TCP, UDP, VSE y OpenVPN.
Las siguientes direcciones IP fueron los 12 principales creadores de ataques dirigidos a CVE-2021-35394.
| IP | Región de origen del ataque | # de ataques (millones) |
| 199.195.251[.]190 | Estados Unidos | 39.8 |
| 172.81.41[.]196 | Estados Unidos | 17.2 |
| 103.149.137[.]124 | Vietnam | 10.6 |
| 103.149.137[.]138 | Vietnam | 10.5 |
| 46.249.32[.]181 | Los países bajos | 9.9 |
| 37.44.238[.]148 | Francia | 1.7 |
| 37.44.238[.]185 | Francia | 1.3 |
| 37.44.238[.]217 | Francia | 1.2 |
| 69.67.150[.]36 | Estados Unidos | 1.2 |
| 37.44.238[.]144 | Francia | 1.2 |
| 103.149.137[.]192 | Vietnam | 1.2 |
| 185.122.204[.]30 | Rusia | 1.1 |
Indicadores de compromiso
IP maliciosas
| 199[.]195[.]251[.]190 | 195[.]133[.]81[.]29 |
| 172[.]81[.]41[.]196 | 5[.]253[.]246[.]67 |
| 103[.]149[.]137[.]124 | 45[.]61[.]184[.]133 |
| 103[.]149[.]137[.]138 | 45[.]61[.]184[.]118 |
| 46[.]249[.]32[.]181 | 149[.]5[.]173[.]33 |
| 69[.]67[.]150[.]36 | 163[.]123[.]143[.]226 |
| 103[.]149[.]137[.]192 | 45[.]61[.]188[.]148 |
| 45[.]125[.]236[.]14 | 103[.]207[.]38[.]165 |
| 173[.]247[.]227[.]66 | 45[.]13[.]227[.]115 |
| 173[.]247[.]227[.]70 | 176[.]97[.]210[.]147 |
| 185[.]122[.]204[.]30 | 163[.]123[.]143[.]200 |
| 45[.]95[.]55[.]188 | 185[.]44[.]81[.]62 |
| 2[.]58[.]113[.]79 | 38[.]22[.]109[.]7 |
| 45[.]95[.]55[.]24 | 147[.]182[.]132[.]144 |
| 45[.]95[.]55[.]218 | 205[.]185[.]126[.]88 |
| 45[.]95[.]55[.]189 | 209[.]141[.]51[.]43 |
| 193[.]142[.]146[.]35 | 198[.]98[.]52[.]213 |
| 37[.]139[.]129[.]11 | 45[.]95[.]55[.]185 |
| 78[.]135[.]85[.]70 | 20[.]249[.]89[.]181 |
| 45[.]137[.]21[.]166 | 3[.]235[.]28[.]168 |
| 195[.]178[.]120[.]183 |
URL de devolución de llamada
- hxxp://185.205.12[.]157/trc/TRC[.]mpsl
- hxxp://172.81.41[.]196/trc/TRC[.]mpsl
- hxxp://135.148.104[.]21/ mipsel
- hxxp://199.195.251[.]190/trc/TRC[.]mpsl
- hxxp://37.44.238[.]178/d/xd[.]mpsl
- hxxp://176.97.210[.]135 /asaltante[.]mpsl
- hxxp://198.98.56[.]129/trc/TRC[.]mpsl
- hxxp://141.98.6[.]249/billy[.]sh
- hxxp://185.216.71[ .]157/Bins_Bot_hicore_mipsle
- hxxp://45[.]140[.]141[.]205/bins/sora[.]mpsl
Recomendaciones
- Si tiene dispositivos IoT o de red de la lista de proveedores antes mencionada buscar las últimas actualizaciones o parches de software.
- Aplicar parches y actualizaciones con regularidad en los dispositivos inteligentes, así como en los dispositivos móviles y de escritorio tradicionales, siempre que sea posible, para garantizar la mejor protección.
Referencias