远程代码执行漏洞的攻击趋势

关键要点

根据研究人员2023年1月24日的博客，远程代码执行漏洞的攻击尝试在2022年8月至10月间占据了总攻击次数的40以上。

更重要的是，Palo Alto的Unit 42研究人员观察到，针对Realtek Jungle SDK漏洞CVE202135394的攻击尝试在2022年12月时达到了惊人的134亿次，并且这种情况仍在持续。

RCE漏洞首次公布于2021年8月16日，已影响到66家制造商的近190种设备，许多攻击都针对易受攻击的物联网设备。研究人员认为，尝试利用该漏洞的攻击数量如此之多，原因在于“供应链问题使普通用户难以识别受影响的产品”。

“这些产品中的供应链漏洞直接导致了这些网络攻击面扩大。”研究人员写道。

Viakoo的首席执行官Bud Broomhead表示，考虑到40的总攻击针对的是物联网设备，他觉得“组织竟然未将物联网/OT设备纳入其安全防护之中，真是令人震惊”。

Broomhead在接受SC Media采访时表示：“物联网设备显然已经成为威胁行动者的主要目标，而且这是有充分理由的。这些设备通常在IT部门之外进行管理，难以打补丁，并具备计算、网络和存储等必要条件，使其成为植入和传播恶意软件的理想选择。”

Vulcan Cyber的高级技术工程师Mike Parkin表示，对于CVE202135394的攻击尝试数量“暗示了攻击者正在成功利用这一漏洞，即使这个漏洞已经存在了一年多。”

攻击者针对的设备包含三种类型的恶意软件载荷：执行shell命令的脚本；直接写入二进制载荷的注入命令；以及直接重启目标服务器以造成拒绝服务的注入命令。Unit 42的研究人员观察到的大部分恶意软件来自于Mirai、Gafgyt和Mozi等恶意软件家族。

近一半的攻击尝试，即483，起源于美国，其次是越南178、俄罗斯146、荷兰74、法国64、德国23，卢森堡16及其他地区15。

Broomhead预计，考虑到在产品部署之前，供应链中存在大量的物联网设备，CVE、数据隐私和网络安全将持续很长时间。建议组织在部署新设备之前，更新到最新和最安全的固件版本。