Veidi rohkem kui aasta pärast NSA kasutuselevõttu, et nurjata NSA võimsaid ekspluateerimisi mis lekkis veebis, Sajad tuhanded arvutid jäävad parandamata ja haavatavaks.
Esiteks kasutati neid lunavara levitamiseks, seejärel tulid krüptoraha kaevandamise rünnakud.
Nüüd, Teadlased ütlevad, et häkkerid (või kräkkerid) kasutavad filtreerimisvahendeid veelgi suurema pahatahtliku puhverserveri loomiseks. Seetõttu kasutavad häkkerid arvutite kaaperdamiseks NSA tööriistu.
Hiljutised avastused
Turvafirma "Akamai" uued avastused ütlevad, et UPnProxy haavatavus kuritarvitab tavalist Plug and Play universaalset võrguprotokolli.
Ja et nüüd saate suunata ruuteri tulemüüri taga olevad parandamata arvutid.
Ründajad kasutavad UPnProxyt traditsiooniliselt mõjutatud ruuteri pordi edastamise seadete määramiseks.
Seega lubasid nad hägustamist ja pahatahtliku liikluse suunamist. Seetõttu saab seda kasutada teenuste keelamise rünnakute käivitamiseks või pahavara või rämpsposti levitamiseks.
Enamasti ei mõjuta see võrgus olevaid arvuteid, kuna neid kaitsesid ruuteri võrguaadressi tõlkimise (NAT) reeglid.
Aga nüüd, Akamai ütleb, et sissetungijad kasutavad ruuteri läbimiseks ja võrgus olevate üksikute arvutite nakatamiseks võimsamaid ärakasutamisvõimalusi.
See annab sissetungijatele palju suurema arvu seadmeid, mida on võimalik kätte saada. Samuti muudab see pahatahtliku võrgu palju tugevamaks.
"Kuigi on kahetsusväärne, et ründajad kasutavad UPnProxyt ja kasutavad seda aktiivselt varem NAT-i eest kaitstud süsteemide ründamiseks, siis lõpuks see juhtub," ütles raporti kirjutanud Akamai Chad Seaman.
Ründajad kasutavad kahte tüüpi süstimisvõimalusi:
Millest esimene on EternalBlue, see on riikliku julgeolekuagentuuri välja töötatud tagaukse rünnata arvuteid, millele on installitud Windows.
Kui Linuxi kasutajate puhul on kasutusel nn EternalRed, kuhu ründajad pääsevad Samba protokolli kaudu iseseisvalt juurde.
Umbes EternalRed
Oluline on teada, et lSamba versioon 3.5.0 oli selle koodi kaugkäivitamise vea suhtes haavatav, mis võimaldas pahatahtlikul kliendil jagatud teeki kirjutatavale jagamisele üles laadida ja seejärel laske serveril laadida ja käivitada.
Ründajal on juurdepääs Linuxi masinale ja tõsta privileege kohaliku haavatavuse abil juurjuurdepääsu saamiseks ja võimaliku futuri lunavara installimiseksvõi sarnaselt sellele Linuxi WannaCry tarkvarakoopiale.
Kusjuures UPnProxy muudab haavatavas ruuteris pordikaardistamist. Igavene perekond tegeleb teenuseportidega, mida kasutab SMB - tavaline võrguprotokoll, mida enamus arvuteid kasutab.
Koos nimetab Akamai uut rünnakut "EternalSilence", mis laiendab dramaatiliselt puhverserveri levikut paljude haavatavamate seadmete jaoks.
Tuhanded nakatunud arvutid
Akamai sõnul on juba üle 45.000 XNUMX seadme tohutu võrgu kontrolli all. Potentsiaalselt võib see arv jõuda enam kui miljoni arvutini.
Siin pole eesmärk suunatud rünnak ", vaid" see on katse ära kasutada tõestatud ekspluateerimisi, käivitades suhteliselt väikeses ruumis suure võrgu, lootuses korjata mitu varem ligipääsmatut seadet.
Kahjuks on Igavese juhiseid raske tuvastada, mistõttu administraatoritel on raske teada saada, kas nad on nakatunud.
Nagu öeldud, olid EternalRedi ja EternalBlue parandused välja antud veidi üle aasta tagasi, kuid miljonid seadmed jäävad endiselt parandamata ja haavatavaks.
Haavatavate seadmete arv väheneb. Seaman ütles siiski, et uued UPnProxy funktsioonid "võivad olla viimane vaev teadaolevate ekspluateerimiste kasutamiseks võimalike parandamata ja varem ligipääsmatute masinate vastu."