A poco mĂĄs de año del despliegue de los para frustrar los poderosos exploits de la NSA que se filtraron en lĂnea, cientos de miles de computadoras siguen sin correcciĂłn y vulnerables.
En primer lugar, se utilizaron para propagar ransomware, luego vinieron los ataques de minerĂa de criptomonedas.
Ahora, los investigadores dicen que los hackers (o crackers) estĂĄn usando las herramientas de filtraciĂłn para crear una red de proxy malintencionada aĂșn mayor. Por lo tanto, los hackers usan herramientas de la NSA para el secuestro de ordenadores.
Descubrimientos recientes
Los nuevos descubrimientos por parte de una firma de seguridad âAkamaiâ dicen que la vulnerabilidad UPnProxy abusa del protocolo de red universal Plug and Play comun.
Y que ahora puede apuntar a las computadoras no parcheadas detrĂĄs del firewall del enrutador.
Los atacantes utilizan tradicionalmente UPnProxy para volver a asignar la configuraciĂłn de reenvĂo de puertos en un router afectado.
AsĂ, ellos permitĂan la ofuscaciĂłn y el enrutamiento de trĂĄfico malintencionado. Por lo tanto, esto se puede utilizar para lanzar ataques de denegaciĂłn de servicio o propagar malware o spam.
En la mayorĂa de los casos, los equipos de la red no se ven afectados porque estaban protegidos por las reglas de conversiĂłn de direcciones de red (NAT) del enrutador.
Pero ahora, Akamai dice que los invasores usan mĂĄs poderosas explotaciones para atravesar el router e infectar ordenadores individuales en la red.
Esto da a los invasores un nĂșmero mucho mayor de dispositivos que se pueden alcanzar. AdemĂĄs, hace que la red malintencionada mucho mĂĄs fuerte.
«Si bien es desafortunado ver que los atacantes hagan uso de UPnProxy y se aprovechen activamente de esto para atacar sistemas que anteriormente estaban protegidos detrås del NAT, eventualmente ocurrirå», dijo Chad Seaman de Akamai, quien escribió el informe.
Los atacantes hacen uso de dos tipos de exploits de inyecciĂłn:
Del cual el primero es EternalBlue, esta es una puerta trasera desarrollado por la Agencia de Seguridad Nacional para atacar las computadoras que tengan instalado Windows.
Mientras que para el caso de los usuarios de Linux existe el exploit llamado EternalRed, en el cual los atacantes acceden de forma independiente por medio del protocolo Samba.
Sobre EternalRed
Es importante saber que la versiĂłn de Samba 3.5.0 era vulnerable a este fallo de ejecuciĂłn remota de cĂłdigo, lo que permitĂa que un cliente malintencionado cargue una biblioteca compartida en un recurso compartido grabable, y luego haga que el servidor la cargue y la ejecute.
Un atacante puede acceder a una mĂĄquina Linux y elevar privilegios utilizando una vulnerabilidad local para obtener acceso de raĂz e instalar un posible ransomware futuro, similar a esta rĂ©plica de software de WannaCry para Linux.
Mientras que UPnProxy modifica la asignaciĂłn de puertos en un enrutador vulnerable. La familia eterna se dirige a los puertos de servicio utilizados por el SMB, un protocolo de red comĂșn que se utiliza en la mayorĂa de los ordenadores.
Juntos, Akamai llama al nuevo ataque «EternalSilence » ampliar dråsticamente la propagación de la red de proxy para muchos dispositivos mås vulnerables.
Miles de ordenadores infectados
Akamai dice mĂĄs de 45.000 dispositivos ya estĂĄn bajo el control de la enorme red. Potencialmente, este nĂșmero puede llegar a mĂĄs de un millĂłn de ordenadores.
El objetivo aquà no es un ataque dirigido » si no que «Es un intento de aprovechar exploits probados, lanzando una amplia red en un espacio relativamente pequeño, con la esperanza de recoger varios dispositivos anteriormente inaccesibles.
Desgraciadamente las instrucciones Eternal son difĂciles de detectar, por lo que difĂcil para los administradores a saber si estĂĄn infectados.
Dicho esto, las correcciones para EternalRed y EternalBlue y fueron lanzadas a poco mås de un año, pero millones de dispositivos permanecen sin parchear y vulnerables.
El nĂșmero de dispositivos vulnerables estĂĄ disminuyendo. Sin embargo, Seaman dijo que las nuevas caracterĂsticas de UPnProxy «pueden ser un Ășltimo esfuerzo para utilizar las explotaciones conocidas contra un conjunto de mĂĄquinas posiblemente sin correcciĂłn y anteriormente inaccesibles».