Sedikit lebih dari setahun setelah penempatan untuk menggagalkan eksploitasi NSA yang kuat yang bocor dalam talian, Beratus-ratus ribu komputer tetap tidak diperbaiki dan terdedah.
Pertama, mereka digunakan untuk menyebarkan ransomware, kemudian muncul serangan perlombongan cryptocurrency.
Sekarang, Penyelidik Mengatakan Penggodam (Atau Keropok) Menggunakan Alat Penapisan Untuk Membuat Rangkaian Proksi Berbahaya yang Lebih Besar. Oleh itu, penggodam menggunakan alat NSA untuk merampas komputer.
Penemuan terkini
Penemuan baru oleh firma keselamatan "Akamai" mengatakan bahawa kerentanan UPnProxy menyalahgunakan protokol rangkaian universal Plug and Play.
Dan sekarang anda boleh menargetkan komputer yang belum ditambal di belakang firewall penghala.
Penyerang secara tradisional menggunakan UPnProxy untuk menetapkan semula tetapan pemajuan port pada penghala yang terjejas.
Oleh itu, mereka membenarkan penyamaran dan peralihan lalu lintas yang berbahaya. Oleh itu, ini dapat digunakan untuk melancarkan serangan penolakan perkhidmatan atau menyebarkan perisian hasad atau spam.
Dalam kebanyakan kasus, komputer di jaringan tidak terpengaruh kerana dilindungi oleh aturan terjemahan alamat rangkaian (NAT) penghala.
Tetapi sekarang, Akamai mengatakan bahawa penyerang menggunakan eksploitasi yang lebih kuat untuk menerobos penghala dan menjangkiti komputer individu di rangkaian.
Ini memberi penjajah jumlah peranti yang jauh lebih besar yang dapat dicapai. Ia juga menjadikan rangkaian jahat lebih kuat.
"Walaupun sangat disayangkan melihat penyerang menggunakan UPnProxy dan secara aktif memanfaatkannya untuk menyerang sistem yang sebelumnya dilindungi di belakang NAT, itu akhirnya akan terjadi," kata Chad Seaman dari Akamai, yang menulis laporan itu.
Penyerang menggunakan dua jenis eksploitasi suntikan:
Yang pertama adalah EternalBlue, ini adalah pintu belakang yang dibangunkan oleh Badan Keselamatan Negara untuk menyerang komputer dengan Windows dipasang.
Sementara dalam kes pengguna Linux ada eksploitasi yang disebut EternalRed, di mana penyerang mengakses secara bebas melalui protokol Samba.
Mengenai EternalRed
Penting untuk mengetahui bahawa lSamba versi 3.5.0 terdedah kepada cacat pelaksanaan kod jauh ini, yang membolehkan pelanggan jahat memuat naik pustaka bersama ke bahagian yang dapat ditulis, dan kemudian pelayan memuatkan dan menjalankannya.
Penyerang boleh mengakses mesin Linux dan tingkatkan keistimewaan menggunakan kerentanan tempatan untuk mendapatkan akses root dan memasang kemungkinan ransomware futuratau, serupa dengan replika perisian WannaCry ini untuk Linux.
Manakala UPnProxy mengubah pemetaan port pada router yang rentan. Keluarga abadi menangani port perkhidmatan yang digunakan oleh SMB, protokol rangkaian biasa yang digunakan oleh kebanyakan komputer.
Bersama-sama, Akamai menyebut serangan baru "EternalSilence" secara dramatis memperluas penyebaran rangkaian proksi untuk banyak peranti yang lebih rentan.
Ribuan komputer yang dijangkiti
Akamai mengatakan lebih daripada 45.000 peranti sudah berada di bawah kawalan rangkaian besar. Berpotensi, jumlah ini dapat menjangkau lebih dari satu juta komputer.
Tujuannya di sini bukanlah serangan yang disasarkan "tetapi" Ini adalah usaha untuk memanfaatkan eksploitasi yang terbukti, melancarkan rangkaian besar di ruang yang agak kecil, dengan harapan dapat mengambil beberapa alat yang sebelumnya tidak dapat diakses.
Sayangnya arahan Abadi sukar dikesan, menyukarkan pentadbir untuk mengetahui apakah mereka dijangkiti.
Kononnya, perbaikan untuk EternalRed dan EternalBlue dan dikeluarkan lebih dari setahun yang lalu, tetapi berjuta-juta peranti tetap tidak dapat ditambal dan rentan.
Bilangan peranti yang rentan semakin berkurang. Namun, Seaman mengatakan bahawa ciri UPnProxy baru "mungkin merupakan usaha terakhir untuk menggunakan eksploitasi yang diketahui terhadap satu set mesin yang mungkin tidak dapat diperbaiki dan sebelumnya tidak dapat diakses."