Lidt over et år efter indsættelsen af den for at modarbejde NSAs magtfulde bedrifter der lækkede online, Hundredtusinder af computere forbliver ukorrigerede og sårbare.
Først blev de brugt til at sprede ransomware, derefter kom kryptovaluta-mineangreb.
nu, forskere siger, at hackere (eller crackere) bruger filtreringsværktøjerne til at skabe et endnu større ondsindet proxy-netværk. Derfor bruger hackere NSA-værktøjer til at kapre computere.
Nylige opdagelser
Nye opdagelser fra et sikkerhedsfirma "Akamai" siger, at UPnProxy-sårbarheden misbruger den fælles Plug and Play-universelle netværksprotokol.
Og at du nu kan målrette mod de ikke-patchede computere bag routerens firewall.
Angribere bruger traditionelt UPnProxy til at omfordele portvideresendelsesindstillinger på en berørt router.
Således tillod de tiltrækning og ondsindet trafikrute. Derfor kan dette bruges til at starte nægtelse af serviceangreb eller sprede malware eller spam.
I de fleste tilfælde påvirkes computere på netværket ikke, fordi de blev beskyttet af routerens NAT-regler (Network Address Translation).
Men nu, Akamai siger, at indtrængende bruger mere kraftfulde bedrifter til at komme igennem routeren og inficere individuelle computere på netværket.
Dette giver de indtrængende et meget større antal enheder, der kan nås. Det gør det ondsindede netværk meget stærkere.
”Selvom det er uheldigt at se angribere, der bruger UPnProxy og aktivt udnytter det til at angribe systemer, der tidligere var beskyttet bag NAT, vil det til sidst ske,” sagde Chad Seaman fra Akamai, der skrev rapporten.
Angribere bruger to typer injektionsudnyttelser:
Heraf er den første EternalBlue, dette er en bagdør udviklet af National Security Agency at angribe computere med Windows installeret.
Mens det er tilfældet med Linux-brugere, er der en udnyttelse kaldet EternalRed, hvor angriberne får adgang uafhængigt gennem Samba-protokollen.
Om EternalRed
Det er vigtigt at vide, at jegSamba version 3.5.0 var sårbar over for denne fejl i forbindelse med fjernudførelse af kode, så en ondsindet klient kunne uploade et delt bibliotek til en skrivbar del, og lad serveren indlæse og køre den.
En hacker kan få adgang til en Linux-maskine og hæve privilegier ved hjælp af en lokal sårbarhed for at få rootadgang og installere en mulig fremtidig ransomwareeller i lighed med denne WannaCry-softwarere replika til Linux.
Mens UPnProxy ændrer portkortlægningen på en sårbar router. Den evige familie adresserer serviceporte, der bruges af SMB, en fælles netværksprotokol, der bruges af de fleste computere.
Sammen kalder Akamai det nye angreb "EternalSilence", der dramatisk udvider spredningen af proxy-netværket til mange flere sårbare enheder.
Tusinder af inficerede computere
Akamai siger, at mere end 45.000 enheder allerede er under kontrol af det enorme netværk. Potentielt kan dette antal nå mere end en million computere.
Målet her er ikke et målrettet angreb "men" Det er et forsøg på at drage fordel af dokumenterede udnyttelser ved at starte et stort netværk i et relativt lille rum i håb om at samle flere tidligere utilgængelige enheder.
Desværre er evige instruktioner vanskelige at opdage, hvilket gør det vanskeligt for administratorer at vide, om de er inficeret.
Når det er sagt, blev rettelserne til EternalRed og EternalBlue frigivet for lidt over et år siden, men millioner af enheder forbliver upatchede og sårbare.
Antallet af sårbare enheder er faldende. Imidlertid sagde Seaman, at de nye UPnProxy-funktioner "kan være en sidste indsats for at bruge kendte udnyttelser mod et sæt muligvis ukorrigerede og tidligere utilgængelige maskiner."