Pouco mais de um ano após a implantação do para impedir as poderosas façanhas da NSA que vazou online, Centenas de milhares de computadores permanecem sem correção e vulneráveis.
Primeiro, eles foram usados para espalhar ransomware, depois vieram os ataques de mineração de criptomoedas.
Agora Pesquisadores dizem que hackers (ou crackers) estão usando ferramentas de filtragem para criar uma rede proxy mal-intencionada ainda maior. Portanto, os hackers usam ferramentas da NSA para sequestrar computadores.
Descobertas recentes
Novas descobertas por uma empresa de segurança "Akamai" dizem que a vulnerabilidade UPnProxy abusa do protocolo de rede universal Plug and Play comum.
E que agora você pode direcionar os computadores não corrigidos atrás do firewall do roteador.
Os invasores tradicionalmente usam UPnProxy para reatribuir as configurações de encaminhamento de porta em um roteador afetado.
Assim, eles permitiam ofuscação e roteamento de tráfego malicioso. Portanto, isso pode ser usado para lançar ataques de negação de serviço ou espalhar malware ou spam.
Na maioria dos casos, os computadores da rede não são afetados porque foram protegidos pelas regras de conversão de endereço de rede (NAT) do roteador.
Mas agora, Akamai diz que os invasores usam exploits mais poderosos para passar pelo roteador e infectar computadores individuais na rede.
Isso dá aos invasores um número muito maior de dispositivos que podem ser alcançados. Além disso, torna a rede maliciosa muito mais forte.
"Embora seja lamentável ver os invasores fazendo uso do UPnProxy e ativamente aproveitando-se dele para atacar sistemas que antes eram protegidos por NAT, isso eventualmente acontecerá", disse Chad Seaman da Akamai, que escreveu o relatório.
Os invasores usam dois tipos de exploits de injeção:
Dos quais o primeiro é EternalBlue, esta é uma porta dos fundos desenvolvida pela Agência de Segurança Nacional para atacar computadores com Windows instalado.
Embora no caso de usuários do Linux haja um exploit chamado EternalRed, no qual os atacantes acessam de forma independente por meio do protocolo Samba.
Sobre a Eternal Red
É importante saber que euO Samba versão 3.5.0 era vulnerável a essa falha de execução remota de código, que permitia que um cliente malicioso carregasse uma biblioteca compartilhada em um compartilhamento gravável, e então carregue o servidor e execute-o.
Um invasor pode acessar uma máquina Linux e eleve os privilégios usando uma vulnerabilidade local para obter acesso root e instalar um possível futuro ransomwareou semelhante a esta réplica do software WannaCry para Linux.
Considerando que UPnProxy modifica o mapeamento de porta em um roteador vulnerável. A família eterna trata das portas de serviço usadas pelo SMB, um protocolo de rede comum usado pela maioria dos computadores.
Juntos, a Akamai chama o novo ataque de "EternalSilence", expandindo dramaticamente a disseminação da rede proxy para muitos dispositivos mais vulneráveis.
Milhares de computadores infectados
Akamai diz que mais de 45.000 dispositivos já estão sob o controle da enorme rede. Potencialmente, esse número pode chegar a mais de um milhão de computadores.
O objetivo aqui não é um ataque direcionado "mas" é uma tentativa de tirar proveito de exploits comprovados, lançando uma grande rede em um espaço relativamente pequeno, na esperança de pegar vários dispositivos anteriormente inacessíveis.
Infelizmente, as instruções eternas são difíceis de detectar, tornando difícil para os administradores saber se estão infectados.
Dito isso, as correções para EternalRed e EternalBlue foram lançadas há pouco mais de um ano, mas milhões de dispositivos continuam sem patch e vulneráveis.
O número de dispositivos vulneráveis está diminuindo. No entanto, Seaman disse que os novos recursos do UPnProxy "podem ser um último esforço para usar exploits conhecidos contra um conjunto de máquinas possivelmente não corrigidas e anteriormente inacessíveis."