Praėjus šiek tiek daugiau nei metams po dislokavimo, siekiant sutrukdyti galingiems NSA išnaudojimams kad nutekėjo internete, Šimtai tūkstančių kompiuterių lieka nepataisyti ir pažeidžiami.
Pirmiausia jie buvo naudojami išpirkos programoms platinti, tada įvyko kriptovaliutų kasybos išpuoliai.
Dabar tyrinėtojai teigia, kad įsilaužėliai (arba krekeriai) naudoja filtravimo įrankius kurdami dar didesnį kenkėjišką tarpinio serverio tinklą. Todėl kompiuterių užgrobėjai įsilaužėliai naudoja NSA įrankius.
Naujausi atradimai
Nauji saugos firmos „Akamai“ atradimai sako, kad „UPnProxy“ pažeidžiamumas pažeidžia bendrą „Plug and Play“ tinklo protokolą.
Ir kad dabar galite nukreipti į nepataisytus kompiuterius, esančius už maršrutizatoriaus užkardos.
Užpuolikai tradiciškai naudoja „UPnProxy“, norėdami priskirti uosto persiuntimo parametrus paveiktame maršrutizatoriuje.
Taigi jie leido sutrukdyti ir nukreipti kenkėjišką srautą. Todėl tai gali būti naudojama norint užkirsti kelią paslaugų teikimo atakoms ar platinti kenkėjiškas programas ar šlamštą.
Daugeliu atvejų tai neturi įtakos tinklo kompiuteriams, nes juos apsaugojo maršrutizatoriaus tinklo adresų vertimo (NAT) taisyklės.
Bet dabar, „Akamai“ teigia, kad įsibrovėliai naudoja galingesnius išnaudojimus norėdami patekti į maršrutizatorių ir užkrėsti atskirus tinklo kompiuterius.
Tai suteikia įsibrovėliams daug daugiau prietaisų, kuriuos galima pasiekti. Be to, tai daro kenkėjišką tinklą daug stipresnį.
„Nors gaila matyti, kad užpuolikai naudojasi„ UPnProxy “ir aktyviai naudojasi ja atakuodami sistemas, kurios anksčiau buvo apsaugotos už NAT, galų gale taip atsitiks“, - sakė pranešimą parašęs „Akamai“ atstovų atstovas Chadas Seamanas.
Užpuolikai naudoja dviejų tipų injekcijas:
Iš kurių pirmasis „EternalBlue“, tai yra užpakalinės durys, kurias sukūrė Nacionalinė saugumo agentūra pulti kompiuterius su įdiegta „Windows“.
Nors „Linux“ vartotojams yra vadinamasis išnaudojimas „EternalRed“, prie kurio užpuolikai gali naudotis savarankiškai per „Samba“ protokolą.
Apie „EternalRed“
Svarbu žinoti, kad l„Samba“ versija 3.5.0 buvo pažeidžiama dėl šio nuotolinio kodo vykdymo trūkumo, kuris kenkėjiškam klientui leido įkelti bendrinamą biblioteką į rašomą dalį. tada paleiskite serverį ir paleiskite jį.
Užpuolikas gali pasiekti „Linux“ kompiuterį ir padidinkite privilegijas naudodamiesi vietiniu pažeidžiamumu, kad gautumėte root prieigą ir įdiegtumėte galimą futur ransomwarearba panašiai kaip ši „WannaCry“ programinės įrangos kopija, skirta „Linux“.
Tuo tarpu „UPnProxy“ modifikuoja pažeidžiamo kelvedžio prievado atvaizdavimą. Amžina šeima kreipiasi į SMB naudojamus paslaugų prievadus - tai yra bendras tinklo protokolas, kurį naudoja dauguma kompiuterių.
Kartu „Akamai“ naują ataką vadina „EternalSilence“, iš esmės plečiančia tarpinio tinklo išplitimą daugeliui pažeidžiamesnių įrenginių.
Tūkstančiai užkrėstų kompiuterių
„Akamai“ teigia, kad didžiulį tinklą jau valdo daugiau nei 45.000 XNUMX įrenginių. Šis skaičius gali pasiekti daugiau nei milijoną kompiuterių.
Čia tikslas yra ne tikslinė ataka ", o„ tai bandymas pasinaudoti įrodytais išnaudojimais, paleidžiant didelį tinklą gana mažoje erdvėje, tikintis pasiimti kelis anksčiau nepasiekiamus įrenginius.
Deja, amžinas instrukcijas sunku aptikti, todėl administratoriams sunku žinoti, ar jie yra užkrėsti.
Tai sakant, „EternalRed“ ir „EternalBlue“ pataisymai buvo išleisti prieš kiek daugiau nei metus, tačiau milijonai įrenginių lieka nepašalinti ir pažeidžiami.
Pažeidžiamų įrenginių skaičius mažėja. Tačiau „Seaman“ teigė, kad naujosios „UPnProxy“ funkcijos „gali būti paskutinė pastanga panaudoti žinomus išnaudojimus prieš galimai nepataisytas ir anksčiau nepasiekiamas mašinas“.