Poco più di un anno dopo il dispiegamento della per contrastare i potenti exploit della NSA trapelato online, Centinaia di migliaia di computer rimangono non corretti e vulnerabili.
In primo luogo, sono stati utilizzati per diffondere ransomware, poi sono arrivati gli attacchi di mining di criptovaluta.
Ora I ricercatori affermano che gli hacker (o i cracker) utilizzano strumenti di filtro per creare una rete proxy dannosa ancora più grande. Pertanto, gli hacker utilizzano gli strumenti della NSA per dirottare i computer.
Scoperte recenti
Nuove scoperte da una società di sicurezza "Akamai" dicono che la vulnerabilità UPnProxy abusa del comune protocollo di rete universale Plug and Play.
E che ora puoi scegliere come target i computer senza patch dietro il firewall del router.
Gli aggressori utilizzano tradizionalmente UPnProxy per riassegnare le impostazioni di port forwarding su un router interessato.
Pertanto, hanno consentito l'offuscamento e il routing del traffico dannoso. Pertanto, questo può essere utilizzato per lanciare attacchi denial of service o diffondere malware o spam.
Nella maggior parte dei casi, i computer sulla rete non sono interessati perché erano protetti dalle regole NAT (Network Address Translation) del router.
Ma ora, Akamai afferma che gli invasori utilizzano exploit più potenti per attraversare il router e infettare i singoli computer sulla rete.
Ciò fornisce agli invasori un numero molto maggiore di dispositivi che possono essere raggiunti. Inoltre, rende la rete dannosa molto più forte.
"Anche se è un peccato vedere gli aggressori che utilizzano UPnProxy e ne traggono attivamente vantaggio per attaccare sistemi che in precedenza erano protetti da NAT, alla fine accadrà", ha affermato Chad Seaman di Akamai, che ha scritto il rapporto.
Gli aggressori fanno uso di due tipi di exploit di iniezione:
Di cui il primo è EternalBlue, questa è una porta sul retro sviluppata dalla National Security Agency per attaccare i computer con Windows installato.
Mentre nel caso degli utenti Linux esiste un exploit chiamato EternalRed, in cui gli aggressori accedono in modo indipendente tramite il protocollo Samba.
Informazioni su EternalRed
È importante sapere che lLa versione 3.5.0 di Samba era vulnerabile a questo difetto di esecuzione di codice remoto, che consentiva a un client dannoso di caricare una libreria condivisa su una condivisione scrivibile, e quindi caricare il server ed eseguirlo.
Un utente malintenzionato può accedere a una macchina Linux e elevare i privilegi utilizzando una vulnerabilità locale per ottenere l'accesso come root e installare un possibile ransomware futuro, simile a questa replica del software WannaCry per Linux.
Mentre UPnProxy modifica la mappatura delle porte su un router vulnerabile. La famiglia eterna si rivolge alle porte di servizio utilizzate da SMB, un protocollo di rete comune utilizzato dalla maggior parte dei computer.
Insieme, Akamai chiama il nuovo attacco "EternalSilence" espandendo notevolmente la diffusione della rete proxy per molti dispositivi più vulnerabili.
Migliaia di computer infetti
Akamai afferma che oltre 45.000 dispositivi sono già sotto il controllo dell'enorme rete. Potenzialmente, questo numero può raggiungere più di un milione di computer.
L'obiettivo qui non è un attacco mirato "ma" è un tentativo di trarre vantaggio da exploit comprovati, lanciando una grande rete in uno spazio relativamente piccolo, nella speranza di raccogliere diversi dispositivi precedentemente inaccessibili.
Sfortunatamente, le istruzioni Eternal sono difficili da rilevare, rendendo difficile per gli amministratori sapere se sono infette.
Detto questo, le correzioni per EternalRed ed EternalBlue sono state rilasciate poco più di un anno fa, ma milioni di dispositivi rimangono privi di patch e vulnerabili.
Il numero di dispositivi vulnerabili sta diminuendo. Tuttavia, Seaman ha affermato che le nuove funzionalità UPnProxy "potrebbero essere un ultimo tentativo di utilizzare exploit noti contro un insieme di macchine possibilmente non corrette e precedentemente inaccessibili".