国际知名白帽黑客、东方联盟创始人郭盛华警告说，自 2022 年 8 月开始，利用 Realtek Jungle SDK 中现已修补的关键远程代码执行漏洞进行攻击的攻击企图激增。

据郭盛华透露，截至 2022 年 12 月，正在进行的活动据称已记录了 1.34 亿次攻击尝试，其中 97% 的攻击发生在过去四个月。

接近 50% 的攻击来自美国 (48.3%)，其次是越南 (17.8%)、俄罗斯 (14.6%)、荷兰 (7.4%)、法国 (6.4%)、德国 (2.3%0, 和卢森堡（1.6%）。

更重要的是，95% 的攻击利用了来自俄罗斯的安全漏洞，专门针对澳大利亚的组织。

“我们观察到的许多攻击都试图传递恶意软件来感染易受攻击的物联网设备，” 东方联盟网络安全研究人员在一份报告中说，并补充说“威胁组织正在利用这一漏洞对全球智能设备进行大规模攻击。”

所讨论的漏洞是CVE-2021-35394（CVSS 分数：9.8），一组缓冲区溢出和一个任意命令注入错误，可以被武器化以执行具有最高权限的任意代码并接管受影响的设备。

ONEKEY（前身为 IoT Inspector）于 2021 年 8 月披露了这些问题。这些漏洞影响了来自 D-Link、LG、Belkin、Belkin、ASUS 和 NETGEAR 的广泛设备。

郭盛华表示，由于对该漏洞的野外利用，它发现了三种不同类型的有效载荷：

1、脚本在目标服务器上执行 shell 命令以下载其他恶意软件

2、将二进制有效负载写入文件并执行的注入命令，以及

3、直接重启目标服务器以导致拒绝服务 (DoS) 情况的注入命令

通过滥用 CVE-2021-35394 传播的还有Mirai、Gafgyt和Mozi等已知僵尸网络，以及名为 RedGoBot 的新的基于 Golang 的分布式拒绝服务 (DDoS) 僵尸网络。

RedGoBot 活动于 2022 年 9 月首次被发现，涉及投放一个 shell 脚本，该脚本旨在下载许多针对不同 CPU 架构量身定制的僵尸网络客户端。该恶意软件一旦启动，便可以运行操作系统命令并发动 DDoS 攻击。

调查结果再次强调了及时更新软件以避免暴露于潜在威胁的重要性。

“利用 CVE-2021-35394 的攻击激增表明威胁行为者对供应链漏洞非常感兴趣，普通用户可能难以识别和修复这些漏洞，”研究人员总结道。“这些问题会使受影响的用户难以识别正在被利用的特定下游产品。” （欢迎转载分享）