Etwas mehr als ein Jahr nach dem Einsatz der, um die mächtigen Heldentaten der NSA zu vereiteln das ist online durchgesickert, Hunderttausende von Computern bleiben unkorrigiert und anfällig.
Zuerst wurden sie verwendet, um Ransomware zu verbreiten, dann kamen Cryptocurrency-Mining-Angriffe.
Jetzt Forscher sagen, dass Hacker (oder Cracker) die Filter-Tools verwenden, um ein noch größeres bösartiges Proxy-Netzwerk zu erstellen. Daher verwenden Hacker NSA-Tools, um Computer zu entführen.
Neueste Entdeckungen
Neue Entdeckungen einer Sicherheitsfirma "Akamai" besagen, dass die UPnProxy-Sicherheitsanfälligkeit das übliche universelle Plug-and-Play-Netzwerkprotokoll missbraucht.
Und dass Sie jetzt auf die nicht gepatchten Computer hinter der Firewall des Routers zielen können.
Angreifer verwenden UPnProxy traditionell, um die Einstellungen für die Portweiterleitung auf einem betroffenen Router neu zuzuweisen.
Somit erlaubten sie Verschleierung und böswilliges Verkehrsrouting. Daher kann dies verwendet werden, um Denial-of-Service-Angriffe zu starten oder Malware oder Spam zu verbreiten.
In den meisten Fällen sind Computer im Netzwerk nicht betroffen, da sie durch die NAT-Regeln (Network Address Translation) des Routers geschützt wurden.
Aber jetzt Laut Akamai verwenden Angreifer leistungsfähigere Exploits, um den Router zu durchbrechen und einzelne Computer im Netzwerk zu infizieren.
Dies gibt den Angreifern eine viel größere Anzahl von Geräten, die erreicht werden können. Außerdem wird das schädliche Netzwerk dadurch viel stärker.
"Obwohl es bedauerlich ist, dass Angreifer UPnProxy nutzen und es aktiv nutzen, um Systeme anzugreifen, die zuvor hinter NAT geschützt waren, wird es irgendwann passieren", sagte Chad Seaman von Akamai, der den Bericht schrieb.
Angreifer nutzen zwei Arten von Injektions-Exploits:
Davon ist der erste Ewiges BlauDies ist eine Hintertür, die von der Nationalen Sicherheitsagentur entwickelt wurde um Computer mit installiertem Windows anzugreifen.
Während im Fall von Linux-Benutzern gibt es einen Exploit namens EternalRed, bei dem die Angreifer unabhängig über das Samba-Protokoll zugreifen.
Über EternalRed
Es ist wichtig zu wissen, dass lSamba Version 3.5.0 war anfällig für diesen Fehler bei der Remotecodeausführung, sodass ein böswilliger Client eine gemeinsam genutzte Bibliothek auf eine beschreibbare Freigabe hochladen konnte. Lassen Sie dann den Server laden und ausführen.
Ein Angreifer kann auf einen Linux-Computer zugreifen und Erhöhen Sie die Berechtigungen mithilfe einer lokalen Sicherheitsanfälligkeit, um Root-Zugriff zu erhalten und eine mögliche zukünftige Ransomware zu installierenoder ähnlich wie bei diesem WannaCry-Software-Replikat für Linux.
Während UPnProxy die Portzuordnung auf einem anfälligen Router ändert. Die ewige Familie befasst sich mit den von SMB verwendeten Service-Ports, einem gemeinsamen Netzwerkprotokoll, das von den meisten Computern verwendet wird.
Zusammen nennt Akamai den neuen Angriff "EternalSilence", was die Verbreitung des Proxy-Netzwerks für viele weitere anfällige Geräte dramatisch erweitert.
Tausende infizierte Computer
Laut Akamai stehen bereits mehr als 45.000 Geräte unter der Kontrolle des riesigen Netzwerks. Möglicherweise kann diese Zahl mehr als eine Million Computer erreichen.
Das Ziel ist hier kein gezielter Angriff ", sondern" Es ist ein Versuch, bewährte Exploits zu nutzen und ein großes Netzwerk auf relativ kleinem Raum zu starten, in der Hoffnung, mehrere zuvor unzugängliche Geräte aufzunehmen.
Leider sind ewige Anweisungen schwer zu erkennen, sodass Administratoren nur schwer erkennen können, ob sie infiziert sind.
Davon abgesehen wurden die Korrekturen für EternalRed und EternalBlue vor etwas mehr als einem Jahr veröffentlicht, aber Millionen von Geräten bleiben ungepatcht und anfällig.
Die Anzahl anfälliger Geräte nimmt ab. Seaman sagte jedoch, dass die neuen UPnProxy-Funktionen "ein letzter Versuch sein könnten, bekannte Exploits gegen eine Reihe von möglicherweise nicht korrigierten und zuvor nicht zugänglichen Maschinen einzusetzen".