Brecha de segurança registra 134 milhões de ataques contra Internet das Coisas

Uma brecha já corrigida em chips da Realtek, mas ainda amplamente presente em dispositivos da Internet das Coisas desatualizados, levou a um total de mais de 134 milhões de ataques ao longo de um período de pouco mais de um ano. Criminosos responsáveis por famílias de botnet conhecidas realizam as tentativas de contaminação contra aparelhos de pelo menos seis fabricantes em mais de 30 países.

A falha, mais especificamente, está no sistema de desenvolvimento dos componentes Realtek Jungle. Rastreada como CVE-2021-35394 e considerada de alta severidade, ela permite que a memória dos aparelhos seja corrompida para a inserção de comandos arbitrários e execução remota de códigos. A correção veio em agosto de 2021, sendo apenas uma questão de dias para que começasse a ser explorada, também, por cibercriminosos.

De acordo com um levantamento da Unit 42, braço de segurança digital da Palo Alto Networks, mais de 50 dispositivos de fabricantes reconhecidas como D-Link, LG, Belkin, Zyxel, Asus e Netgear estão vulneráveis. Os Estados Unidos concentram 48,3% de todos os ataques registrados entre agosto de 2021 e dezembro do ano passado, com Vietnã, Rússia, Países Baixos e França vindo na sequência de territórios mais afetados.

Fabricantes Dispositivos afetados
D-Link 31
LG 8
Belkin 6
Zyxel 6
Asus 4
Netgear 1

Sistemas corporativos, claro, são o principal foco de uma exploração que vem sendo realizada pelos agentes criminosos por trás de botnets amplamente conhecidas como Mirai, Gafgyt e Mozi, entre outras. De acordo com os especialistas, os ataques envolvem três vias diferentes, que podem ou não ser combinadas para entregar malware aos dispositivos, executar arquivos maliciosos diretamente neles ou resetar servidores conectados aos aparelhos, de forma a abrir mais portas de intrusão na rede.

Incidentes de negação de serviço também foram registrados como parte da onda de ataques, um uso comum para dispositivos da Internet das Coisas contaminados. Segundo a Unit 42, quase metade dos IPs usados em ofensivas desse tipo também se originam nos EUA, mas VPNs e sistemas de ofuscação podem ter sido usados pelos bandidos para escapar de listas de bloqueio ou ocultar a fonte real das ofensivas.

Atualizações não são repassadas aos usuários

Gráfico mostra intensificação dos ataqeus quase um ano depois da correção da brecha pela Realtek, mostrando o pouco alcance de atualizações críticas para os dispositivos da Internet das Coisas (Imagem: Divulgação/Unit 42)

A expectativa dos especialistas é que o movimento intenso de exploração da brecha continue ao longo de 2023, principalmente na medida em que ela ganha mais e mais notoriedade. Enquanto isso, o problema evidencia uma dificuldade da cadeia de suprimentos da Internet das Coisas, com diferentes intermediários que acabam se tornando um obstáculo na resolução de problemas de segurança.

Enquanto a Realtek liberou uma correção para a brecha assim que ela foi detectada, o mesmo nem sempre vale para as fabricantes dos dispositivos. Entre empresas que não repassam os updates a seus clientes e usuários que não os aplicam mesmo que estejam disponíveis, se monta uma cadeia de exploração valiosa para os cibercriminosos e, também, um amplo vetor de entrada para ataques.

A recomendação de segurança é quanto à aplicação imediata de todas as atualizações disponíveis para o seu aparelho, assim como a tomada de medidas de proteção envolvendo o uso de senhas seguras em painéis de controle e sistemas de administração. No mundo corporativo, sistemas de gerenciamento e monitoramento também podem ser aplicados para facilitar a instalação de updates e a detecção de problemas. Indicadores de comprometimento também foram liberados para auxiliar na identificação de dispositivos atingidos.

FONTE: https://canaltech.com.br/seguranca/brecha-de-seguranca-registra-134-milhoes-de-ataques-contra-internet-das-coisas-237480/