僵尸网络程式正试图攻击Realtek芯片SDK漏洞

本月稍早安全厂商揭露瑞昱半导体的无线芯片SDK存在多项安全漏洞，影响65家IoT厂商，本周另外二家安全业者相信，已经有骇客盯上采用Realtek芯片的IoT装置，企图感染僵尸网络程式。

安全厂商Radware上周发现一只僵尸网络程式Dark.IoT的攻击活动。他们是在今年二月首次发现这只僵尸网络程式，并依程式二进制档以攻击对象种类命名的手法，称之为Dark.IoT。8月间，他们发现这只恶意程式将CVE-2021-35395纳入其开采的对象。这正是稍早被IoT Inspectors公开的Realtek芯片SDK 10多项漏洞中的一项。

根据瑞昱的说明，CVE-2021-35395是一项阻断服务（Denial of Service）漏洞，发生在HTTP Web server “boa”对传入的HTTP呼叫中的引数验证不足，攻击者可加入过长的呼叫引数来引发缓冲溢位，进而导致装置服务毁损、中断服务。CVE-2021-35395的CVSS 3.0风险值高达9.8。

瑞昱已经释出新版SDK，以修补有问题的版本。

Palo Alto今年三月发现，Dark.IoT进入受害系统中会删除/tmp 及 /var/资料夹的纪录档以隐藏攻击行踪。它的shell script还会终止装置上的合法防护行程，以便下载Dark.IoT二进制档。

Radware研究人员Daniel Smith指出，Dark.IoT的操作组织是等着白帽骇客公布新漏洞及概念验证（PoC）才出手，在几天内将新漏洞纳编进化其僵尸网络。但另一方面纳编CVE-2021-35395，还需要路径穿越(path traversal)漏洞结合恶意组态档注入手法，这需要相当功力，显示他们不是写程式作乱的外行人。

研究人员相信Dark.IoT和Mirai变种背后是同一个骇客组织。事实上，CVE-2021-35395可能更早就让用户曝险。以色列安全公司SAM Seamless Network另外还发现，骇客开采CVE-2021-35395以植入Mirai变种。

Mirai变种今年以来活动猖獗。Palo Alto及Tenable公司分别发现Mirai变种攻击锁定多种IoT设备，包括使用智易科技（Arcadyan）固件的37款路由器设备。