Un peu plus d'un an après le déploiement de la pour contrecarrer les puissants exploits de la NSA qui a fui en ligne, Des centaines de milliers d'ordinateurs restent non corrigés et vulnérables.
Tout d'abord, ils ont été utilisés pour diffuser des ransomwares, puis sont venues les attaques d'extraction de crypto-monnaie.
maintenant, les chercheurs affirment que les pirates (ou les crackers) utilisent les outils de filtrage pour créer un réseau proxy malveillant encore plus grand. Par conséquent, les pirates utilisent des outils NSA pour détourner des ordinateurs.
Découvertes récentes
De nouvelles découvertes par une entreprise de sécurité "Akamai" indiquent que la vulnérabilité UPnProxy abuse du protocole de réseau universel Plug and Play.
Et que vous pouvez désormais cibler les ordinateurs non corrigés derrière le pare-feu du routeur.
Les attaquants utilisent traditionnellement UPnProxy pour réaffecter les paramètres de transfert de port sur un routeur affecté.
Ainsi, ils ont permis l'obfuscation et le routage du trafic malveillant. Par conséquent, cela peut être utilisé pour lancer des attaques par déni de service ou propager des logiciels malveillants ou du spam.
Dans la plupart des cas, les ordinateurs du réseau ne sont pas affectés car ils étaient protégés par les règles de traduction d'adresses réseau (NAT) du routeur.
Mais maintenant, Akamai dit que les envahisseurs utilisent des exploits plus puissants pour traverser le routeur et infecter des ordinateurs individuels sur le réseau.
Cela donne aux envahisseurs un plus grand nombre d'appareils pouvant être atteints. En outre, cela renforce le réseau malveillant.
«S'il est malheureux de voir des attaquants utiliser UPnProxy et en profiter activement pour attaquer des systèmes qui étaient auparavant protégés derrière NAT, cela finira par arriver», a déclaré Chad Seaman d'Akamai, qui a rédigé le rapport.
Les attaquants utilisent deux types d'exploits par injection:
Dont le premier est EternalBlue, c'est une porte dérobée développée par la National Security Agency pour attaquer les ordinateurs sur lesquels Windows est installé.
Alors que dans le cas des utilisateurs Linux, il existe un exploit appelé EternalRed, dans lequel les attaquants accèdent indépendamment via le protocole Samba.
À propos d'EternalRed
Il est important de savoir que lLa version 3.5.0 de Samba était vulnérable à cette faille d'exécution de code à distance, permettant à un client malveillant de télécharger une bibliothèque partagée sur un partage accessible en écriture, puis chargez le serveur et exécutez-le.
Un attaquant peut accéder à une machine Linux et élever les privilèges en utilisant une vulnérabilité locale pour obtenir un accès root et installer un éventuel futur ransomwareou, similaire à cette réplique du logiciel WannaCry pour Linux.
Alors que UPnProxy modifie le mappage de port sur un routeur vulnérable. La famille éternelle s'adresse aux ports de service utilisés par SMB, un protocole réseau commun utilisé par la plupart des ordinateurs.
Ensemble, Akamai appelle la nouvelle attaque «EternalSilence», élargissant considérablement la diffusion du réseau proxy pour de nombreux appareils plus vulnérables.
Des milliers d'ordinateurs infectés
Akamai affirme que plus de 45.000 XNUMX appareils sont déjà sous le contrôle de l'immense réseau. Potentiellement, ce nombre peut atteindre plus d'un million d'ordinateurs.
Le but ici n'est pas une attaque ciblée "mais" c'est une tentative de profiter d'exploits avérés, en lançant un grand réseau dans un espace relativement restreint, dans l'espoir de récupérer plusieurs appareils auparavant inaccessibles.
Malheureusement, les instructions éternelles sont difficiles à détecter, ce qui rend difficile pour les administrateurs de savoir s'ils sont infectés.
Cela étant dit, les correctifs pour EternalRed et EternalBlue ont été publiés il y a un peu plus d'un an, mais des millions d'appareils restent non corrigés et vulnérables.
Le nombre d'appareils vulnérables diminue. Cependant, Seaman a déclaré que les nouvelles fonctionnalités d'UPnProxy "peuvent être un effort ultime pour utiliser des exploits connus contre un ensemble de machines probablement non corrigées et auparavant inaccessibles."