A poco más de año del despliegue de los para frustrar los poderosos exploits de la NSA que se filtraron en línea, cientos de miles de computadoras siguen sin corrección y vulnerables.
En primer lugar, se utilizaron para propagar ransomware, luego vinieron los ataques de minería de criptomonedas.
Ahora, los investigadores dicen que los hackers (o crackers) están usando las herramientas de filtración para crear una red de proxy malintencionada aún mayor. Por lo tanto, los hackers usan herramientas de la NSA para el secuestro de ordenadores.
Descubrimientos recientes
Los nuevos descubrimientos por parte de una firma de seguridad “Akamai” dicen que la vulnerabilidad UPnProxy abusa del protocolo de red universal Plug and Play comun.
Y que ahora puede apuntar a las computadoras no parcheadas detrás del firewall del enrutador.
Los atacantes utilizan tradicionalmente UPnProxy para volver a asignar la configuración de reenvío de puertos en un router afectado.
Así, ellos permitían la ofuscación y el enrutamiento de tráfico malintencionado. Por lo tanto, esto se puede utilizar para lanzar ataques de denegación de servicio o propagar malware o spam.
En la mayoría de los casos, los equipos de la red no se ven afectados porque estaban protegidos por las reglas de conversión de direcciones de red (NAT) del enrutador.
Pero ahora, Akamai dice que los invasores usan más poderosas explotaciones para atravesar el router e infectar ordenadores individuales en la red.
Esto da a los invasores un número mucho mayor de dispositivos que se pueden alcanzar. Además, hace que la red malintencionada mucho más fuerte.
«Si bien es desafortunado ver que los atacantes hagan uso de UPnProxy y se aprovechen activamente de esto para atacar sistemas que anteriormente estaban protegidos detrás del NAT, eventualmente ocurrirá», dijo Chad Seaman de Akamai, quien escribió el informe.
Los atacantes hacen uso de dos tipos de exploits de inyección:
Del cual el primero es EternalBlue, esta es una puerta trasera desarrollado por la Agencia de Seguridad Nacional para atacar las computadoras que tengan instalado Windows.
Mientras que para el caso de los usuarios de Linux existe el exploit llamado EternalRed, en el cual los atacantes acceden de forma independiente por medio del protocolo Samba.
Sobre EternalRed
Es importante saber que la versión de Samba 3.5.0 era vulnerable a este fallo de ejecución remota de código, lo que permitía que un cliente malintencionado cargue una biblioteca compartida en un recurso compartido grabable, y luego haga que el servidor la cargue y la ejecute.
Un atacante puede acceder a una máquina Linux y elevar privilegios utilizando una vulnerabilidad local para obtener acceso de raíz e instalar un posible ransomware futuro, similar a esta réplica de software de WannaCry para Linux.
Mientras que UPnProxy modifica la asignación de puertos en un enrutador vulnerable. La familia eterna se dirige a los puertos de servicio utilizados por el SMB, un protocolo de red común que se utiliza en la mayoría de los ordenadores.
Juntos, Akamai llama al nuevo ataque «EternalSilence » ampliar drásticamente la propagación de la red de proxy para muchos dispositivos más vulnerables.
Miles de ordenadores infectados
Akamai dice más de 45.000 dispositivos ya están bajo el control de la enorme red. Potencialmente, este número puede llegar a más de un millón de ordenadores.
El objetivo aquí no es un ataque dirigido » si no que «Es un intento de aprovechar exploits probados, lanzando una amplia red en un espacio relativamente pequeño, con la esperanza de recoger varios dispositivos anteriormente inaccesibles.
Desgraciadamente las instrucciones Eternal son difíciles de detectar, por lo que difícil para los administradores a saber si están infectados.
Dicho esto, las correcciones para EternalRed y EternalBlue y fueron lanzadas a poco más de un año, pero millones de dispositivos permanecen sin parchear y vulnerables.
El número de dispositivos vulnerables está disminuyendo. Sin embargo, Seaman dijo que las nuevas características de UPnProxy «pueden ser un último esfuerzo para utilizar las explotaciones conocidas contra un conjunto de máquinas posiblemente sin corrección y anteriormente inaccesibles».