Realtek SDK Aktif Diserang Malware Ratusan juta Kali. Segera Reset & Perbarui Firmware!

Palo Alto Networks, perusahaan keamanan siber asal Amerika Serikat, mendeteksi serangan aktif yang mengeksploitasi kerentana kritis jarak jauh pada Realtek Jungle SDK. Serangan ini telah terdeteksi mencapai 134 juta kali yang mencoba menginfeksi perangkat pintar sepanjang paruh kedua 2022.

Kerentana kritis tersebut sebelumnya sudah dilabeli sebagai CVE-2021-35394 yang diberi skor parah 9,8 dari 10. Aktivitas serangan terhadap bug ini dideteksi Palo Alto Networks antara Agustus hingga Oktober 2022.

Dikutip dari BleepingComputer, Kamis (26 Januari 2023), peneliti Unit 42, bagian dari Palo Alto Networks, menemukan malware botnet baru bernama "RedGoBot" yang cukup aktif di alam liar menargetkan perangkat IoT yang rentan tersebut.

Serangan tersebut bahkan terus berlanjut hingga Desember lalu. Aktivitas yang teramati menunjukkan bahwa botnet tersebut membawa:

  • skrip untuk menjalankan shell di server perangkat yang ditargetkan untuk mengunduh malware.
  • menginjeksi perintah muatan biner ke file dan mengeksekusinya.
  • perintah untuk menyalakan ulang server.

"Sebagian besar serangan ini berasal dari keluarga malware botnet seperti Mirai, Gafgyt, Mozi, dan turunannya. Pada April 2022,  botnet Fodcha  terlihat mengeksploitasi CVE-2021-35394 untuk serangan DDoS," tulis BleepingComputer.

RedGoBot juga menggunakan kerentanan untuk tujuan DDoS dalam serangan pada September 2022. Botnet dapat melakukan serangan DDoS pada protokol HTTP, ICMP, TCP, UDP, VSE dan OpenVPN dan mendukung berbagai metode DDoS.

Unit 42 mencatat aktivitas yang memanfaatkan CVE-2021-35394 di seluruh dunia, tetapi hampir setengah dari serangan tersebut berasal dari Amerika Serikat.

Namun, menggunakan VPN dan proksi dapat mengaburkan sumber sebenarnya, karena pelaku ancaman lebih suka menggunakan alamat IP yang berbasis di AS untuk menghindari daftar blokir.

“Dari Agustus 2021 hingga Desember 2022, kami telah mengamati total 134 juta upaya eksploitasi, menargetkan CVE-2021-35394, dengan 97 persen dari serangan ini terjadi setelah awal Agustus 2022,” tutur laporan Unit 42.

CVE-2021-35394 adalah kerentanan kritis di Realtek Jungle SDK versi 2.x hingga 3.4.14B, yang disebabkan oleh beberapa kerusakan memori yang memungkinkan penyerang jarak jauh yang tidak diautentikasi melakukan injeksi perintah arbitrer (semaunya).

Realtek memperbaiki kelemahan tersebut pada 15 Agustus 2021 , bersama dengan kelemahan keparahan kritis lainnya seperti CVE-2021-35395, yang menjadi sasaran ekstensif oleh botnet yang memasukkan eksploit hanya beberapa hari setelah pengungkapannya , dan baru-baru ini pada Desember lalu .

Chipset Realtek tersebar di banyak perangkat IoT. Sayangnya, banyak pengguna sering mengabaikan pembaruan firmware bahkan ketika itu tersedia dari vendor perangkat, dan banyak yang memperlakukan perangkat IoT dengan pola pikir "atur dan lupakan".

Serangan ke CVE-2021-35394 hampir lebih dari setahun usai Realtek merilis perbaikan keamanan menunjukkan bahwa upaya perbaikan sangat bergantung pada upaya vendor dan pengguna akhir.

Beberapa perangkat yang rentan mungkin tidak lagi didukung. Dalam beberapa kasus, vendor mungkin telah merilis pembaruan dengan perbaikan, tetapi pengguna tidak menginstalnya. Pengguna harus memeriksa apakah perangkat mereka terpengaruh dan apakah ada tambalan keamanan yang tersedia dengan alamat CVE-2021-35394.

Jika perangkat telah terinfeksi, rekomendasinya adalah melakukan reset pabrik, menetapkan kata sandi administrator yang kuat, lalu menerapkan semua pembaruan firmware yang tersedia.

Pemanfaatan CVE-2021-35394 diperkirakan tetap tinggi pada paruh pertama 2023 karena rumitnya penambalan rantai pasokan.


Sumber : https://m.cyberthreat.id/read/15277/Realtek-SDK-Aktif-Diserang-Malware-Ratusan-juta-Kali-Segera-Reset-Perbarui-Firmware

Comments