Nella seconda metà del 2022 ormai trascorso, un gruppo di hacker ha sfruttato una vulnerabilità critica di esecuzione di codice remoto nell’SDK Realtek Jungle per la messa a segno di ben 134 milioni di attacchi miranti a infettare dispositivi intelligenti.
Realtek SDK: un malware ha usato un bug per milioni di attacchi
La vulnerabilità, identificata come CVE-2021-35394 e valutata con un punteggio di gravità di 9,8 su 10, è presente nell’SDK Realtek Jungle dalla versione 2.x alla 3.4.14B ed è dovuta a vari difetti di corruzione della memoria che permettono a degli eventuali aggressori remoti non autenticati di eseguire l’iniezione di comandi arbitrari.
La falla è stata corretta da Realtek il 15 agosto 2021, ma a settembre scorso è stato individuato un nuovo malware botnet, denominato RedGoBot, capace di sfruttare la vulnerabilità in questione.
Gli attacchi sono andati avanti sino a dicembre tramite tre diversi payload: uno script che esegue un comando di shell sul server di destinazione per scaricare il malware, un comando iniettato che scrive un payload binario in un file e lo esegue e un comando iniettato che riavvia il server.
Per evitare problemi, è fondamentale verificare se i dispositivi con chipset Realtek eventualmente posseduti sono interessanti e se ci sono delle patch di sicurezza disponibili. Se il dispositivo è già stato infettato, è bene eseguire un reset di fabbrica, impostare una password di amministratore sufficientemente robusta e scaricare e installare tutti gli aggiornamenti del firmware disponibili. Inoltre, è fondamentale munirsi di un buon software antivirus, come nel caso di Norton Premium Security che attualmente è proposto anche in forte sconto.