A poc més d'any de l'desplegament dels per frustrar els poderosos gestes de la NSA que es van filtrar en línia, centenars de milers d'ordinadors segueixen sense correcció i vulnerables.
En primer lloc, es van utilitzar per propagar ransomware, després van venir els atacs de mineria de moneda digital.
Ara, els investigadors diuen que els hackers (o crackers) estan usant les eines de filtració per crear una xarxa de servidor intermediari malintencionada encara més gran. Per tant, els hackers fan servir eines de la NSA per al segrest d'ordinadors.
descobriments recents
Els nous descobriments per part d'una empresa de seguretat "Akamai" diuen que la vulnerabilitat UPnProxy abusa de el protocol de xarxa universal Plug and Play comú.
I que ara pot apuntar a les computadores no parcheadas darrere de l'tallafocs de l'encaminador.
Els atacants utilitzen tradicionalment UPnProxy per tornar a assignar la configuració de reenviament de ports en un router afectat.
Així, ells permetien l'ofuscació i l'enrutament de trànsit malintencionat. Per tant, això es pot utilitzar per llançar atacs de denegació de servei o propagar malware o spam.
En la majoria dels casos, els equips de la xarxa no es veuen afectats perquè estaven protegits per les regles de conversió d'adreces de xarxa (NAT) de l'encaminador.
Però ara, Akamai diu que els invasors fan servir més poderoses explotacions per travessar el router i infectar ordinadors individuals a la xarxa.
Això dóna als invasors un nombre molt més gran de dispositius que es poden assolir. A més, fa que la xarxa malintencionada molt més fort.
«Si bé és desafortunat veure que els atacants facin ús de UPnProxy i s'aprofitin activament d'això per atacar sistemes que anteriorment estaven protegits darrere de l'NAT, eventualment passarà», va dir Txad Seaman d'Akamai, qui va escriure l'informe.
Els atacants fan ús de dos tipus de gestes d'injecció:
De el qual el primer és Blau etern, Aquesta és una porta del darrere desenvolupat per l'Agència de Seguretat Nacional per atacar els ordinadors que tinguin instal·lat Windows.
Mentre que per al cas dels usuaris de Linux ha el exploit anomenat EternalRed, en el qual els atacants accedeixen de forma independent per mitjà de l'protocol Samba.
sobre EternalRed
És important saber que la versió de Samba 3.5.0 era vulnerable a aquesta fallada d'execució remota de codi, el que permetia que un client malintencionat carregui una biblioteca compartida en un recurs compartit gravable, i després faci que el servidor la carregui i l'executi.
Un atacant pot accedir a una màquina Linux i elevar privilegis utilitzant una vulnerabilitat local per obtenir accés d'arrel i instal·lar un possible ransomware futuro, similar a aquesta rèplica de programari de WannaCry per a Linux.
Mentre que UPnProxy modifica l'assignació de ports en un encaminador vulnerable. La família eterna s'adreça als ports de servei utilitzats pel SMB, un protocol de xarxa comuna que s'utilitza en la majoria dels ordinadors.
Junts, Akamai crida a el nou atac «EternalSilence» ampliar dràsticament la propagació de la xarxa del servidor intermediari per molts dispositius més vulnerables.
Milers d'ordinadors infectats
Akamai diu més de 45.000 dispositius ja estan sota el control de l'enorme xarxa. Potencialment, aquest nombre pot arribar a més d'un milió d'ordinadors.
L'objectiu aquí no és un atac dirigit »sinó que« És un intent d'aprofitar gestes provats, llançant una àmplia xarxa en un espai relativament petit, amb l'esperança de recollir diversos dispositius anteriorment inaccessibles.
Desgraciadament les instruccions Eternal són difícils de detectar, de manera que difícil per als administradors a saber si estan infectats.
Dit això, les correccions per EternalRed i EternalBlue i van ser llançades a poc més d'un any, però milions de dispositius romanen sense apedaçar i vulnerables.
El nombre de dispositius vulnerables està disminuint. No obstant això, Seaman va dir que les noves característiques de UPnProxy «poden ser un últim esforç per utilitzar les explotacions conegudes contra un conjunt de màquines possiblement sense correcció i anteriorment inaccessibles».