Nedaudz vairāk nekā gadu pēc karaspēka izvietošanas, lai kavētu NSA spēcīgos izmantojumus kas noplūdis tiešsaistē, Simtiem tūkstošu datoru joprojām nav laboti un neaizsargāti.
Pirmkārt, tie tika izmantoti, lai izplatītu izpirkuma programmatūru, pēc tam notika kriptovalūtas ieguves uzbrukumi.
Tagad, Pētnieki saka, ka hakeri (vai krekeri) izmanto filtrēšanas rīkus, lai izveidotu vēl lielāku ļaunprātīgu starpniekserveri. Tāpēc hakeri datoru nolaupīšanai izmanto NSA rīkus.
Jaunākie atklājumi
Jauni drošības firmas "Akamai" atklājumi saka, ka UPnProxy ievainojamība ļaunprātīgi izmanto kopējo Plug and Play universālo tīkla protokolu.
Un ka tagad jūs varat mērķēt uz neatmaksātiem datoriem, kas atrodas aiz maršrutētāja ugunsmūra.
Uzbrucēji tradicionāli izmanto UPnProxy, lai pārdalītu portu pārsūtīšanas iestatījumus uz skarto maršrutētāju.
Tādējādi viņi pieļāva apmulsināšanu un ļaunprātīgas datplūsmas maršrutēšanu. Tādēļ to var izmantot, lai sāktu pakalpojumu atteikuma uzbrukumus vai izplatītu ļaunprātīgu programmatūru vai surogātpastu.
Vairumā gadījumu tīklā esošie datori netiek ietekmēti, jo tos aizsargāja maršrutētāja tīkla adrešu tulkošanas (NAT) kārtulas.
Bet tagad, Akamai saka, ka iebrucēji izmanto jaudīgākus izmantojumus, lai tiktu cauri maršrutētājam un inficētu atsevišķus datorus tīklā.
Tas dod iebrucējiem daudz lielāku ierīču skaitu, ko var sasniegt. Turklāt tas padara ļaunprātīgo tīklu daudz spēcīgāku.
"Lai gan ir žēl redzēt, ka uzbrucēji izmanto UPnProxy un aktīvi izmanto tā priekšrocības, lai uzbruktu sistēmām, kuras iepriekš bija aizsargātas aiz NAT, tas galu galā notiks," sacīja Čadas Sīmans no Akamai, kurš uzrakstīja ziņojumu.
Uzbrucēji izmanto divu veidu injekcijas:
No kuriem pirmais ir Mūžīgi zils, tās ir aizmugures durvis, kuras izstrādājusi Nacionālā drošības aģentūra uzbrukt datoriem ar instalētu Windows.
Lai gan Linux lietotāju gadījumā tiek izmantots izsaukums EternalRed, kurā uzbrucēji neatkarīgi piekļūst, izmantojot Samba protokolu.
Par EternalRed
Ir svarīgi zināt, ka lSamba versija 3.5.0 bija neaizsargāta pret šo attālās koda izpildes kļūdu, kas ļāva ļaunprātīgam klientam augšupielādēt koplietojamo bibliotēku rakstāmā koplietojumā, un pēc tam ielādējiet serveri un palaidiet to.
Uzbrucējs var piekļūt Linux mašīnai un paaugstiniet privilēģijas, izmantojot vietējo ievainojamību, lai iegūtu root piekļuvi un instalētu iespējamo futur izpirkuma programmatūruvai līdzīgi šai WannaCry programmatūras kopijai Linux.
Tā kā UPnProxy modificē portu kartēšanu neaizsargātā maršrutētājā. Mūžīgā ģimene pievērš uzmanību servisa portiem, kurus izmanto SMB - parasts tīkla protokols, ko izmanto lielākā daļa datoru.
Kopā Akamai jauno uzbrukumu sauc par “EternalSilence”, kas ievērojami paplašina starpniekservera tīkla izplatību daudzām neaizsargātākām ierīcēm.
Tūkstošiem inficētu datoru
Akamai saka, ka vairāk nekā 45.000 XNUMX ierīču jau atrodas milzīgā tīkla kontrolē. Šis skaitlis potenciāli var sasniegt vairāk nekā miljonu datoru.
Mērķis šeit nav mērķtiecīgs uzbrukums ", bet" tas ir mēģinājums izmantot pārbaudītas ekspluatācijas priekšrocības, palaižot lielu tīklu relatīvi mazā telpā, cerībā paņemt vairākas iepriekš nepieejamas ierīces.
Diemžēl mūžīgos norādījumus ir grūti noteikt, tāpēc administratoriem ir grūti uzzināt, vai tie ir inficēti.
Tas nozīmē, ka EternalRed un EternalBlue labojumi tika izlaisti nedaudz vairāk kā pirms gada, taču miljoniem ierīču joprojām nav atjaunotas un neaizsargātas.
Neaizsargāto ierīču skaits samazinās. Tomēr Seaman teica, ka jaunās UPnProxy funkcijas "var būt pēdējais mēģinājums izmantot zināmos ekspluatācijas veidus pret iespējami neizlabotu un iepriekš nepieejamu mašīnu kopumu".