Λίγο περισσότερο από ένα χρόνο μετά την ανάπτυξη του για να αποτρέψει τις ισχυρές εκμεταλλεύσεις της NSA που διέρρευσε στο διαδίκτυο, Εκατοντάδες χιλιάδες υπολογιστές παραμένουν μη διορθωμένοι και ευάλωτοι.
Πρώτα, χρησιμοποιήθηκαν για τη διάδοση ransomware και στη συνέχεια ήρθαν επιθέσεις εξόρυξης κρυπτονομισμάτων.
Τώρα, Οι ερευνητές λένε ότι οι hackers (ή crackers) χρησιμοποιούν τα εργαλεία φιλτραρίσματος για να δημιουργήσουν ένα ακόμη μεγαλύτερο κακόβουλο δίκτυο διακομιστή μεσολάβησης. Ως εκ τούτου, οι χάκερ χρησιμοποιούν εργαλεία NSA για αεροπειρατεία.
Πρόσφατες ανακαλύψεις
Νέες ανακαλύψεις από μια εταιρεία ασφαλείας "Akamai" λένε ότι η ευπάθεια UPnProxy παραβιάζει το κοινό πρωτόκολλο καθολικού δικτύου Plug and Play.
Και ότι τώρα μπορείτε να στοχεύσετε τους μη αντιστοιχισμένους υπολογιστές πίσω από το τείχος προστασίας του δρομολογητή.
Οι εισβολείς χρησιμοποιούν παραδοσιακά το UPnProxy για να εκχωρήσουν εκ νέου τις ρυθμίσεις προώθησης θύρας σε έναν επηρεαζόμενο δρομολογητή.
Έτσι, επέτρεψαν τη συσκότιση και την κακή δρομολόγηση της κυκλοφορίας. Επομένως, αυτό μπορεί να χρησιμοποιηθεί για την εκκίνηση επιθέσεων άρνησης υπηρεσίας ή τη διάδοση κακόβουλων προγραμμάτων ή ανεπιθύμητων μηνυμάτων.
Στις περισσότερες περιπτώσεις, οι υπολογιστές στο δίκτυο δεν επηρεάζονται επειδή προστατεύονταν από τους κανόνες μετάφρασης διεύθυνσης δικτύου (NAT) του δρομολογητή.
Αλλά τώρα, Ο Akamai λέει ότι οι εισβολείς χρησιμοποιούν πιο ισχυρά πλεονεκτήματα για να περάσουν από το δρομολογητή και να μολύνουν μεμονωμένους υπολογιστές στο δίκτυο.
Αυτό δίνει στους εισβολείς πολύ μεγαλύτερο αριθμό συσκευών που μπορούν να προσεγγιστούν. Επίσης, κάνει το κακόβουλο δίκτυο πολύ πιο δυνατό.
"Ενώ είναι ατυχές να βλέπουμε τους επιτιθέμενους να χρησιμοποιούν το UPnProxy και να το εκμεταλλεύονται ενεργά για να επιτεθούν σε συστήματα που προηγουμένως είχαν προστατευτεί πίσω από το NAT, αυτό θα συμβεί τελικά", δήλωσε ο Τσαντ Σιαμάν του Akamai, ο οποίος έγραψε την έκθεση.
Οι επιτιθέμενοι κάνουν χρήση δύο τύπων εγχύσεων:
Εκ των οποίων το πρώτο είναι Αιώνιο Μπλε, αυτή είναι μια πίσω πόρτα που αναπτύχθηκε από την Εθνική Υπηρεσία Ασφαλείας για επίθεση σε υπολογιστές με εγκατεστημένα τα Windows.
Ενώ στην περίπτωση των χρηστών Linux υπάρχει μια εκμετάλλευση που ονομάζεται EternalRed, στο οποίο οι εισβολείς έχουν ανεξάρτητη πρόσβαση μέσω του πρωτοκόλλου Samba.
Σχετικά με το EternalRed
Είναι σημαντικό να γνωρίζουμε ότιΤο Samba έκδοση 3.5.0 ήταν ευάλωτο σε αυτό το ελάττωμα εκτέλεσης απομακρυσμένου κώδικα, επιτρέποντας σε έναν κακόβουλο πελάτη να ανεβάσει μια κοινόχρηστη βιβλιοθήκη σε ένα εγγράψιμο κοινόχρηστο, και έπειτα ο διακομιστής φορτώσει και εκτελέστε τον.
Ένας εισβολέας μπορεί να αποκτήσει πρόσβαση σε μια μηχανή Linux και αναβαθμίστε τα προνόμια χρησιμοποιώντας μια τοπική ευπάθεια για να αποκτήσετε πρόσβαση root και να εγκαταστήσετε ένα πιθανό futur ransomwareή, παρόμοιο με αυτό το αντίγραφο λογισμικού WannaCry για Linux.
Ενώ το UPnProxy τροποποιεί τη χαρτογράφηση θύρας σε έναν ευάλωτο δρομολογητή. Η αιώνια οικογένεια απευθύνεται στις θύρες υπηρεσιών που χρησιμοποιεί η SMB, ένα κοινό πρωτόκολλο δικτύου που χρησιμοποιείται από τους περισσότερους υπολογιστές.
Μαζί, η Akamai αποκαλεί τη νέα επίθεση "EternalSilence" επεκτείνοντας δραματικά την εξάπλωση του δικτύου μεσολάβησης για πολλές πιο ευάλωτες συσκευές.
Χιλιάδες μολυσμένοι υπολογιστές
Ο Akamai λέει ότι περισσότερες από 45.000 συσκευές βρίσκονται ήδη υπό τον έλεγχο του τεράστιου δικτύου. Ενδεχομένως, αυτός ο αριθμός μπορεί να φτάσει περισσότερους από ένα εκατομμύριο υπολογιστές.
Ο στόχος εδώ δεν είναι μια στοχευμένη επίθεση "αλλά" Είναι μια προσπάθεια να επωφεληθούν από αποδεδειγμένα κατορθώματα, ξεκινώντας ένα μεγάλο δίκτυο σε σχετικά μικρό χώρο, με την ελπίδα να πάρει αρκετές προηγουμένως απρόσιτες συσκευές.
Δυστυχώς, οι αιώνιες οδηγίες είναι δύσκολο να εντοπιστούν, καθιστώντας δύσκολο για τους διαχειριστές να γνωρίζουν εάν έχουν μολυνθεί.
Τούτου λεχθέντος, οι ενημερώσεις κώδικα για το EternalRed και το EternalBlue και κυκλοφόρησαν λίγο πριν από ένα χρόνο, αλλά εκατομμύρια συσκευές παραμένουν ανασφαλείς και ευάλωτες.
Ο αριθμός των ευάλωτων συσκευών μειώνεται. Ωστόσο, ο Seaman είπε ότι τα νέα χαρακτηριστικά UPnProxy "μπορεί να είναι μια τελευταία προσπάθεια για τη χρήση γνωστών εκμεταλλεύσεων ενάντια σε ένα σύνολο πιθανών μη διορθωμένων και προηγουμένως απρόσιτων μηχανημάτων."