Sedikit lebih dari setahun setelah penyebaran untuk menggagalkan eksploitasi yang kuat dari NSA yang bocor secara online, Ratusan ribu komputer tetap tidak terkoreksi dan rentan.
Pertama, mereka digunakan untuk menyebarkan ransomware, lalu datang serangan penambangan cryptocurrency.
Sekarang, Peneliti Mengatakan Peretas (Atau Cracker) Menggunakan Alat Penyaring Untuk Membuat Jaringan Proxy Berbahaya Yang Lebih Besar. Oleh karena itu, peretas menggunakan alat NSA untuk membajak komputer.
Penemuan terbaru
Penemuan baru oleh firma keamanan "Akamai" mengatakan bahwa kerentanan UPnProxy menyalahgunakan protokol jaringan universal Plug and Play yang umum.
Dan sekarang Anda dapat menargetkan komputer yang belum di-patch di belakang firewall router.
Penyerang biasanya menggunakan UPnProxy untuk menetapkan ulang pengaturan penerusan port pada router yang terpengaruh.
Jadi, mereka mengizinkan kebingungan dan perutean lalu lintas berbahaya. Oleh karena itu, ini dapat digunakan untuk meluncurkan serangan penolakan layanan atau menyebarkan malware atau spam.
Dalam kebanyakan kasus, komputer di jaringan tidak terpengaruh karena dilindungi oleh aturan terjemahan alamat jaringan (NAT) router.
Tapi sekarang, Akamai mengatakan bahwa penjajah menggunakan eksploitasi yang lebih kuat untuk menerobos router dan menginfeksi komputer individu di jaringan.
Ini memberi penjajah lebih banyak perangkat yang dapat dijangkau. Selain itu, itu membuat jaringan jahat lebih kuat.
"Meskipun sangat disayangkan melihat penyerang menggunakan UPnProxy dan secara aktif memanfaatkannya untuk menyerang sistem yang sebelumnya dilindungi di belakang NAT, hal itu pada akhirnya akan terjadi," kata Chad Seaman dari Akamai, yang menulis laporan tersebut.
Penyerang menggunakan dua jenis eksploitasi injeksi:
Yang pertama adalah EternalBlue, ini adalah pintu belakang yang dikembangkan oleh Badan Keamanan Nasional untuk menyerang komputer yang menginstal Windows.
Sedangkan dalam kasus pengguna Linux ada sebuah exploit yang disebut EternalRed, di mana penyerang mengakses secara independen melalui protokol Samba.
Tentang EternalRed
Penting untuk diketahui bahwa lSamba versi 3.5.0 rentan terhadap kesalahan eksekusi kode jarak jauh ini, yang memungkinkan klien jahat untuk mengunggah pustaka bersama ke bagian yang dapat ditulis, dan kemudian minta server memuat dan menjalankannya.
Penyerang dapat mengakses mesin Linux dan tingkatkan hak istimewa menggunakan kerentanan lokal untuk mendapatkan akses root dan menginstal kemungkinan ransomware di masa depanatau, mirip dengan replika perangkat lunak WannaCry untuk Linux ini.
Sedangkan UPnProxy memodifikasi pemetaan port pada router yang rentan. Keluarga yang kekal mengalamatkan port layanan yang digunakan oleh SMB, protokol jaringan yang umum digunakan oleh kebanyakan komputer.
Bersama-sama, Akamai menyebut serangan baru itu "EternalSilence" secara dramatis memperluas penyebaran jaringan proxy untuk lebih banyak perangkat yang rentan.
Ribuan komputer yang terinfeksi
Akamai mengatakan lebih dari 45.000 perangkat sudah di bawah kendali jaringan besar. Secara potensial, angka ini bisa mencapai lebih dari satu juta komputer.
Tujuannya di sini bukanlah serangan yang ditargetkan "tetapi" Ini adalah upaya untuk memanfaatkan eksploitasi yang telah terbukti, meluncurkan jaringan besar dalam ruang yang relatif kecil, dengan harapan mendapatkan beberapa perangkat yang sebelumnya tidak dapat diakses.
Sayangnya instruksi Eternal sulit untuk dideteksi, sehingga sulit bagi administrator untuk mengetahui apakah mereka terinfeksi.
Meskipun demikian, perbaikan untuk EternalRed dan EternalBlue dan dirilis lebih dari setahun yang lalu, tetapi jutaan perangkat tetap belum ditambal dan rentan.
Jumlah perangkat yang rentan menurun. Namun, Seaman mengatakan bahwa fitur UPnProxy baru "mungkin merupakan upaya terakhir untuk menggunakan eksploitasi yang diketahui terhadap serangkaian mesin yang mungkin tidak dikoreksi dan sebelumnya tidak dapat diakses."