Hieman yli vuoden kuluttua NSA: n käyttöönotosta NSA: n voimakkaiden hyödyntämisten estämiseksi joka vuotaa verkossa, Sadat tuhannet tietokoneet ovat edelleen korjaamattomia ja haavoittuvia.
Ensinnäkin niitä käytettiin lunnasohjelmien levittämiseen, sitten tuli kryptovaluutan kaivoshyökkäyksiä.
nyt, Tutkijat sanovat, että hakkerit (tai hakkerit) käyttävät suodatustyökaluja entistä suuremman haitallisen välityspalvelinverkon luomiseen. Siksi hakkerit käyttävät NSA-työkaluja kaappaamaan tietokoneita.
Viimeaikaiset löydöt
Turvallisuusyrityksen "Akamai" uusien löytöjen mukaan UPnProxy-haavoittuvuus rikkoo yleistä Plug and Play -verkkoprotokollaa.
Ja että voit nyt kohdistaa reitittimen palomuurin takana oleviin avaamattomiin tietokoneisiin.
Hyökkääjät käyttävät perinteisesti UPnProxy-ohjelmaa määrittämään portin edelleenlähetysasetukset kyseiselle reitittimelle.
Siksi he sallivat hämmennyksen ja haitallisen liikenteen reitityksen. Siksi sitä voidaan käyttää palvelunestohyökkäysten käynnistämiseen tai haittaohjelmien tai roskapostin levittämiseen.
Useimmissa tapauksissa tämä ei vaikuta verkon tietokoneisiin, koska reitittimen verkko-osoitteen muuntamista (NAT) koskevat säännöt suojaavat niitä.
Mutta nyt, Akamai sanoo, että hyökkääjät käyttävät tehokkaampia hyökkäyksiä päästäkseen reitittimeen ja tartuttamalla yksittäisiä tietokoneita verkossa.
Tämä antaa hyökkääjille paljon suuremman määrän laitteita, joihin pääsee. Lisäksi se tekee haitallisesta verkosta paljon vahvemman.
"Vaikka onkin valitettavaa, että hyökkääjät käyttävät UPnProxyä ja käyttävät sitä aktiivisesti hyökkäämään järjestelmiin, jotka olivat aiemmin suojattuja NAT: n takana, se lopulta tapahtuu", kertoi raportin kirjoittanut Akamaiin Chad Seaman.
Hyökkääjät käyttävät kahden tyyppisiä injektiohyökkäyksiä:
Joista ensimmäinen on EternalBlue, tämä on kansallisen turvallisuusviraston kehittämä takaovi hyökätä tietokoneisiin, joihin on asennettu Windows.
Vaikka Linux-käyttäjien tapauksessa on olemassa nimeltään hyväksikäyttö EternalRed, johon hyökkääjät pääsevät itsenäisesti Samba-protokollan kautta.
Tietoa henkilöstä EternalRed
On tärkeää tietää, että lSamba-versio 3.5.0 oli haavoittuvainen koodin etäsuorittamisvirheelle, mikä mahdollisti haitallisen asiakkaan lataamaan jaetun kirjaston kirjoitettavaan jakoon, ja anna palvelimen ladata ja suorittaa se.
Hyökkääjä voi käyttää Linux-konetta ja korota käyttöoikeuksia paikallisen haavoittuvuuden avulla pääkäyttäjille ja asenna mahdollinen futur-lunnasohjelmatai samanlainen kuin tämä WannaCry-ohjelmistokopio Linuxille.
UPnProxy muuttaa haavoittuvan reitittimen porttikartoitusta. Ikuinen perhe käsittelee palveluportteja, joita SMB käyttää, yleinen verkkoprotokolla, jota useimmat tietokoneet käyttävät.
Yhdessä Akamai kutsuu uutta hyökkäystä "EternalSilence" laajentamaan dramaattisesti välityspalvelinverkon leviämistä monille haavoittuvammille laitteille.
Tuhannet tartunnan saaneet tietokoneet
Akamai sanoo, että yli 45.000 XNUMX laitetta on jo valtavan verkon hallinnassa. Tämä luku voi tavoittaa yli miljoonan tietokoneen.
Tavoite ei ole kohdennettu hyökkäys ", vaan" se on yritys hyödyntää todistettuja hyökkäyksiä, käynnistämällä suuri verkko suhteellisen pienessä tilassa, toivoen löytävänsä useita aiemmin pääsemättömiä laitteita.
Valitettavasti ikuisia ohjeita on vaikea havaita, minkä vuoksi järjestelmänvalvojien on vaikea tietää, ovatko he saaneet tartunnan.
EternalRed- ja EternalBlue-ohjelmien korjaukset julkaistiin kuitenkin hieman yli vuosi sitten, mutta miljoonat laitteet ovat edelleen korjaamattomia ja haavoittuvia.
Haavoittuvien laitteiden määrä vähenee. Seaman sanoi kuitenkin, että uudet UPnProxy-ominaisuudet "saattavat olla viimeinen syy käyttää tunnettuja hyödyntämistoimia mahdollisesti korjaamattomiin ja aiemmin käyttämättömiin koneisiin."