Специалисты компании SAM, специализирующейся на безопасности IoT-устройств, обнаружили ботнет, атакующий устройства, использующие SDK Realtek, в которых недавно нашли уязвимости.
Напомню, что баги в SDK Realtek были найдены компанией IoT Inspector, и они затрагивают около миллиона устройств, в числе которых: роутеры для путешествий, Wi-Fi репитеры, IP-камеры для шлюзов lightning, «умные» игрушки и другие девайсы. Суммарно уязвимы более 200 моделей как минимум 65 поставщиков, включая AIgital, ASUSTek, Beeline, Belkin, Buffalo, D- Link, Edimax, Huawei, LG, Logitec, MT-Link, Netis, Netgear, Occtel, PATECH, TCL, Sitecom, TCL, ZTE, Zyxel, а также собственную линейку маршрутизаторов Realtek.
По данным SAM, атаки на обнаруженные проблемы начались всего через три дня после того, как специалисты IoT Inspector раскрыли информацию об уязвимостях.
Наиболее серьезным из найденных багов смело можно назвать уязвимость CVE-2021-35395, которая набрала 9,8 балла из 10 возможных по шкале CVSS. Данная проблема позволяет удаленному злоумышленнику подключаться к веб-панели, используя искаженный URL-адрес, обходить аутентификацию и запускать вредоносный код с наивысшими привилегиями.
Хотя Realtek выпустила патчи за день до того, как представители IoT Inspector опубликовали результаты своих исследований, этого времени не хватило, чтобы поставщики устройств успели развернуть обновления. То есть подавляющее большинство проблемных устройств по-прежнему используют устаревшую прошивку (и устаревший Realtek SDK), и уязвимы перед атаками. По данным SAM, чаще всего в сети встречаются следующие уязвимые девайсы:
- экстендер Netis E1+;
- Edimax N150 и N300 Wi-Fi роутеры;
- Repotec RP-WR5444 роутер.
Аналитики SAM пишут, что теперь уязвимые девайсы атакует тот же ботнет на базе Mirai, который недавно был замечен в атаках на устройства с прошивкой Arcadyan.