Alig több mint egy évvel az NSA erőteljes kihasználásainak bevetése után hogy kiszivárgott az interneten, Számítógépek százezrei változatlanok és sebezhetők.
Először ransomware terjesztésére használták őket, majd jöttek a kriptovaluta bányászati támadások.
most, A kutatók azt mondják, hogy a hackerek (vagy crackerek) szűrési eszközöket használnak egy még nagyobb rosszindulatú proxy hálózat létrehozásához. Ezért a hackerek NSA eszközöket használnak a számítógépek eltérítésére.
Legutóbbi felfedezések
Az "Akamai" biztonsági cég új felfedezései szerint az UPnProxy biztonsági rés visszaél a Plug and Play univerzális hálózati protokollal.
És hogy most megcélozhatja a nem javított számítógépeket az útválasztó tűzfala mögött.
A támadók az UPnProxy segítségével hagyományosan a port továbbítási beállításainak hozzárendelését használják az érintett útválasztón.
Így megengedték az elfedést és a rosszindulatú forgalomirányítást. Ezért ez felhasználható szolgáltatásmegtagadási támadások indítására, vagy rosszindulatú programok vagy spamek terjesztésére.
A legtöbb esetben a hálózat számítógépeit ez nem érinti, mert azokat az útválasztó hálózati címfordítási (NAT) szabályai védték.
De most, Akamai azt mondja, hogy a betolakodók erősebb kihasználásokkal törik át az útválasztót és megfertőzik a hálózat egyes számítógépeit.
Ez a betolakodóknak sokkal nagyobb számú eszközt biztosít, amelyek elérhetőek. Emellett sokkal erősebbé teszi a rosszindulatú hálózatot.
"Bár nem szerencsés látni, hogy a támadók használják az UPnProxy-t, és aktívan kihasználják azokat a rendszereket, amelyek korábban a NAT mögött voltak védettek, ez végül megtörténik" - mondta az akamai Chad Seaman, aki a jelentést írta.
A támadók kétféle injekciós kihasználást alkalmaznak:
Amelyből az első EternalBlue, ez egy hátsó ajtó, amelyet a Nemzetbiztonsági Ügynökség fejlesztett ki a számítógépek megtámadására Windows telepítve.
Míg a Linux felhasználók esetében van egy kihasználás EternalRed, amelyben a támadók a Samba protokollon keresztül önállóan férnek hozzá.
Az EternalRedről
Fontos tudni, hogy lA Samba 3.5.0 verziója sebezhető volt a távoli kódfuttatási hiba miatt, lehetővé téve egy rosszindulatú kliens számára, hogy megosztott könyvtárat töltsön fel írható megosztásba, majd töltse le és futtassa a szervert.
A támadó hozzáférhet egy Linux géphez és emelje meg a jogosultságokat egy helyi biztonsági rés használatával a root hozzáférés megszerzéséhez és egy esetleges futur ransomware telepítéséhezvagy hasonlóan ehhez a WannaCry szoftver replikához a Linux számára.
Míg az UPnProxy módosítja a portok leképezését egy sérülékeny útválasztón. Az örökkévaló család az SMB által használt szolgáltatási portokat címzi, ez egy általános hálózati protokoll, amelyet a legtöbb számítógép használ.
Az Akamai együtt nevezi az új támadást "EternalSilence" -nek, amely drámai módon kiterjeszti a proxy hálózat terjedését sokkal sebezhetőbb eszközök számára.
Fertőzött számítógépek ezrei
Az Akamai szerint több mint 45.000 XNUMX eszköz van már a hatalmas hálózat ellenőrzése alatt. Ez a szám potenciálisan több mint egymillió számítógépet érhet el.
A cél itt nem célzott támadás ", hanem: Ez egy kísérlet a bevált kiaknázások kihasználására, egy nagy hálózat elindításával viszonylag kicsi térben, abban a reményben, hogy több korábban elérhetetlen eszközt felkapnak.
Sajnos az Örök utasításokat nehéz felismerni, ami megnehezíti az adminisztrátorok számára, hogy megfertőződtek-e.
Ennek ellenére az EternalRed és az EternalBlue javításai alig több mint egy éve jelentek meg, de több millió eszköz maradt javítatlan és sebezhető.
A sebezhető eszközök száma csökken. Seaman azonban elmondta, hogy az új UPnProxy funkciók "utoljára erőfeszítéseket jelenthetnek az ismert kiaknázások felhasználására egy sor esetleg javítatlan és korábban hozzáférhetetlen gép ellen".