Iets meer dan een jaar na de inzet van de om de machtige exploits van de NSA te dwarsbomen die online lekte, Honderdduizenden computers blijven ongecorrigeerd en kwetsbaar.
Eerst werden ze gebruikt om ransomware te verspreiden, daarna kwamen cryptocurrency mining-aanvallen.
nu, Onderzoekers zeggen dat hackers (of crackers) filtertools gebruiken om een nog groter kwaadaardig proxy-netwerk te creëren. Daarom gebruiken hackers NSA-tools om computers te kapen.
Recente ontdekkingen
Nieuwe ontdekkingen door een beveiligingsbedrijf "Akamai" zeggen dat de UPnProxy-kwetsbaarheid misbruik maakt van het algemene Plug en Play universele netwerkprotocol.
En dat u zich nu kunt richten op de niet-gepatchte computers achter de firewall van de router.
Aanvallers gebruiken traditioneel UPnProxy om instellingen voor poortdoorschakeling op een getroffen router opnieuw toe te wijzen.
Zo maakten ze verduistering en kwaadaardige verkeersroutering mogelijk. Daarom kan dit worden gebruikt om denial of service-aanvallen uit te voeren of malware of spam te verspreiden.
In de meeste gevallen worden computers op het netwerk niet getroffen omdat ze werden beschermd door de NAT-regels (Network Address Translation) van de router.
Maar nu Akamai zegt dat indringers krachtigere exploits gebruiken om door de router te breken en individuele computers op het netwerk te infecteren.
Dit geeft de indringers een veel groter aantal apparaten dat kan worden bereikt. Het maakt het kwaadaardige netwerk ook veel sterker.
"Hoewel het jammer is dat aanvallers gebruik maken van UPnProxy en er actief gebruik van maken om systemen aan te vallen die voorheen achter NAT werden beschermd, zal het uiteindelijk gebeuren", zei Chad Seaman van Akamai, die het rapport schreef.
Aanvallers maken gebruik van twee soorten injectie-exploits:
Waarvan de eerste is Eternalblue, dit is een achterdeur die is ontwikkeld door de National Security Agency om computers aan te vallen waarop Windows is geïnstalleerd.
Terwijl in het geval van Linux-gebruikers er een exploit wordt genoemd EternalRed, waarin de aanvallers onafhankelijk toegang krijgen via het Samba-protocol.
Over EternalRed
Het is belangrijk om te weten dat lSamba versie 3.5.0 was kwetsbaar voor deze fout bij het uitvoeren van externe code, waardoor een kwaadwillende client een gedeelde bibliotheek naar een beschrijfbare share kon uploaden, en laat de server vervolgens laden en uitvoeren.
Een aanvaller heeft toegang tot een Linux-machine en verhoog de rechten door een lokale kwetsbaarheid te gebruiken om root-toegang te krijgen en een mogelijke toekomstige ransomware te installerenof vergelijkbaar met deze WannaCry-softwarereplica voor Linux.
Terwijl UPnProxy de poorttoewijzing op een kwetsbare router wijzigt. De eeuwige familie adresseert de servicepoorten die worden gebruikt door SMB, een algemeen netwerkprotocol dat door de meeste computers wordt gebruikt.
Samen noemt Akamai de nieuwe aanval "EternalSilence", waardoor de verspreiding van het proxy-netwerk voor veel meer kwetsbare apparaten drastisch wordt uitgebreid.
Duizenden geïnfecteerde computers
Akamai zegt dat meer dan 45.000 apparaten al onder controle staan van het enorme netwerk. In potentie kan dit aantal meer dan een miljoen computers bereiken.
Het doel is hier niet een gerichte aanval "maar" Het is een poging om te profiteren van bewezen exploits door een groot netwerk te lanceren in een relatief kleine ruimte, in de hoop verschillende voorheen ontoegankelijke apparaten op te pikken.
Helaas zijn eeuwige instructies moeilijk te detecteren, waardoor het voor beheerders moeilijk is om te weten of ze geïnfecteerd zijn.
Dat gezegd hebbende, de fixes voor EternalRed en EternalBlue zijn iets meer dan een jaar geleden uitgebracht, maar miljoenen apparaten blijven ongepatcht en kwetsbaar.
Het aantal kwetsbare apparaten neemt af. Seaman zei echter dat de nieuwe UPnProxy-functies "een laatste wanhopige poging kunnen zijn om bekende exploits te gebruiken tegen een reeks mogelijk niet-gecorrigeerde en voorheen ontoegankelijke machines."