קצת יותר משנה לאחר פריסתו של כדי לסכל את מעלליו החזקים של ה- NSA שדלף ברשת, מאות אלפי מחשבים נותרו ללא תיקון ופגיעים.
ראשית, הם שימשו להפצת תוכנות כופר ואז הגיעו התקפות הכרייה של מטבעות קריפטו.
עכשיו, החוקרים טוענים כי האקרים (או פיצוחים) משתמשים בכלי הסינון כדי ליצור רשת פרוקסי זדונית גדולה עוד יותר. לכן, האקרים משתמשים בכלי NSA כדי לחטוף מחשבים.
תגליות אחרונות
תגליות חדשות של חברת אבטחה "Akamai" טוענות כי הפגיעות של UPnProxy מנצלת לרעה את פרוטוקול הרשת האוניברסלי של Plug and Play.
ושאתה יכול כעת למקד למחשבים שלא הותקנו מאחורי חומת האש של הנתב.
התוקפים משתמשים באופן מסורתי ב- UPnProxy כדי להקצות הגדרות העברת יציאות בנתב מושפע.
לפיכך, הם אפשרו ערפול וניתוב תעבורה זדוני. לכן ניתן להשתמש בזה להפעלת התקפות של מניעת שירות או להפצת תוכנות זדוניות או דואר זבל.
ברוב המקרים, מחשבים ברשת אינם מושפעים מכיוון שהם היו מוגנים על ידי כללי התרגום של הנתב (NAT) של הנתב.
אבל עכשיו, אקמאי אומר כי פולשים משתמשים במעללים חזקים יותר בכדי לעבור דרך הנתב ולהדביק מחשבים בודדים ברשת.
זה נותן לפולשים מספר גדול בהרבה של מכשירים אליהם ניתן להגיע. כמו כן, זה הופך את הרשת הזדונית לחזקה הרבה יותר.
"אמנם מצער לראות שתוקפים משתמשים ב- UPnProxy ומנצלים אותה באופן פעיל לתקיפת מערכות שהיו מוגנות בעבר מאחורי NAT, אך בסופו של דבר זה יקרה", אמר צ'אד סימן מאקמאי, שכתב את הדו"ח.
התוקפים משתמשים בשני סוגים של ניצולי הזרקה:
שהראשון הוא EternalBlueזוהי דלת אחורית שפותחה על ידי הסוכנות לביטחון לאומי לתקוף מחשבים עם חלונות מותקנים.
בעוד שבמקרה של משתמשי לינוקס יש ניצול שנקרא EternalRed, בו התוקפים ניגשים באופן עצמאי דרך פרוטוקול סמבה.
אודות EternalRed
חשוב לדעת שאניגרסת Samba 3.5.0 הייתה חשופה לפגם זה בביצוע קוד מרחוק, שאיפשר ללקוח זדוני לטעון ספרייה משותפת על שיתוף שניתן לכתוב. ואז לטעון את השרת ולהפעיל אותו.
תוקף יכול לגשת למכונת לינוקס ו- הרם הרשאות באמצעות פגיעות מקומית כדי להשיג גישה לשורש ולהתקין תוכנת כופר עתידית אפשריתאו, בדומה לשכפול זה של תוכנת WannaCry עבור לינוקס.
בעוד ש- UPnProxy משנה את מיפוי היציאות בנתב פגיע. המשפחה הנצחית פונה ליציאות השירות המשמשות את SMB, פרוטוקול רשת משותף המשמש את מרבית המחשבים.
יחד, אקמאי מכנה את המתקפה החדשה "EternalSilence" המרחיבה באופן דרמטי את התפשטות רשת ה- proxy למכשירים פגיעים רבים יותר.
אלפי מחשבים נגועים
Akamai אומר כי יותר מ -45.000 מכשירים כבר נמצאים בשליטת הרשת הענקית. באופן פוטנציאלי, מספר זה יכול להגיע ליותר ממיליון מחשבים.
המטרה כאן אינה התקפה ממוקדת "אלא" זהו ניסיון לנצל מעללים מוכחים, להשיק רשת גדולה במרחב קטן יחסית, בתקווה לאסוף כמה מכשירים שלא היו נגישים בעבר.
למרבה הצער הוראות נצחיות קשות לגילוי, מה שמקשה על מנהלי מערכת לדעת אם הם נגועים.
עם זאת, התיקונים עבור EternalRed ו- EternalBlue ושוחררו לפני קצת יותר משנה, אך מיליוני מכשירים נותרו ללא תיקון ופגיעים.
מספר המכשירים הפגיעים יורד. עם זאת, סימן אמר כי התכונות החדשות של UPnProxy "עשויות להיות מאמץ אחרון להשתמש במעללים ידועים כנגד קבוצה של מכונות שאולי לא תוקנו ובלתי נגישות בעבר."