0
0
Centenas de milhares de dispositivos inteligentes que usam chipsets da Realtek estão sob ataque de uma nova botnet. Os ataques começaram semana passada, de acordo com um relatório da empresa de segurança IoT SAM
Isso acontece apenas três dias após serem reveladas sérias vulnerabilidades afetando equipamentos da marca, como vimos aqui. Há 200 modelos diferentes de pelo menos 65 fornecedores, incluindo Asus, Belkin, D-Link, Netgear, Tenda, ZTE e Zyxel. A lista de itens vulneráveis inclui roteadores, gateways de rede, repetidores Wi-Fi, câmeras IP, iluminação inteligente e até brinquedos conectados à internet.
Baseada na infame botnet Mirai, a nova rede visa principalmente dispositivos de consumo online. O software alvo da nova botnet está presente em chips fabricados pela Realtek e que são enviados para outras empresas, que os usam como a placa System on Chip (SoC) básica para seus próprios dispositivos. É parte do firmware, o programa fixo interno dos aparelhos.
A vulnerabilidade permite a um invasor contornar a autenticação e executar um código malicioso com privilégios de administrador, efetivamente assumindo o controle do aparelho.
Não deu tempo
Embora a Realtek tenha lançado patches um dia antes do IoT Inspector publicar suas descobertas na semana passada, o tempo foi muito curto para que os fornecedores de dispositivos implantassem as atualizações de segurança em seu próprio conjunto de clientes. Ou seja, hoje, a grande maioria desses dispositivos permanece exposta aos ataques por ainda estar executando firmware desatualizado (e um SDK Realtek desatualizado).
A equipe de pesquisa da IoT SAM disse que, com base em suas próprias varreduras, os modelos de dispositivos mais comuns que executam atualmente o SDK Realtek vulnerável incluem o Netis E1 + Extender, os Roteadores Wi-Fi Edimax N150 e N300 e o Roteador Repotec RP-WR5444. Os proprietários de tais dispositivos devem procurar ou consultar seus vendedores sobre novos patches de firmware. A lista completa de dispositivos vulneráveis está incluída nesta lista.
Dispositivos IoT na mira
Uma botnet é uma rede de dispositivos conectados à internet, cada um executando um ou mais bots. Ela pode ser usada na realização de ataques DDoS, roubo de dados e envios de spam, além de permitir que um invasor acesse um dispositivo alvo e sua conexão.
A Mirai é um tipo de botnet que tem como principal foco os dispositivos IoT. Para atacá-los, ela faz uso de uma prática bem simples, focando em falhas de firmware e configurações padrões. Ou seja, se o usuário não atualizar as configurações iniciais de um dispositivo, como o seu login e senha, a Mirai vai poder se aproveitar disso para transformar o seu aparelho em um bot. Depois deste processo, ao conseguir juntar diversos aparelhos, a Mirai inicia ataques DDOS, que são capazes de derrubar serviços ou de deixá-los instáveis.
O ator da ameaça por trás da botnet que está atacando dispositivos com chipsets Realtek também atualizou seus scanners há mais de duas semanas para explorar uma vulnerabilidade de desvio de autenticação crítica (CVE-2021-20090) que afeta milhões de roteadores domésticos usando firmware Arcadyan. Como os pesquisadores do Juniper Threat Labs revelaram na época, esse ator de ameaça tem como alvo dispositivos de rede e IoT desde pelo menos fevereiro de 2021.
“Esta cadeia de eventos mostra que os hackers estão procurando ativamente por vulnerabilidades de injeção de comando e as usam para propagar malware amplamente usado rapidamente”, disse Omri Mallis, arquiteto-chefe de produto da SAM Seamless Network. “Esses tipos de vulnerabilidades são fáceis de explorar e podem ser integrados rapidamente às estruturas de hacking existentes que os invasores usam, bem antes que os dispositivos sejam corrigidos e os fornecedores de segurança possam reagir”.
FONTE: OLHAR DIGITAL