Pak më shumë se një vit pas vendosjes së njësive për të penguar shfrytëzimet e fuqishme të NSA që doli në internet, Qindra mijëra kompjuterë mbeten të pa korrigjuar dhe të prekshëm.
Së pari, ato u përdorën për të përhapur ransomware, pastaj erdhën sulmet e minierave të kriptomonedhave.
tani, Studiuesit thonë se hakerët (ose thyerësit) po përdorin mjete filtrimi për të krijuar një rrjet akoma më të madh të proxy-ve. Prandaj, hakerat përdorin mjetet e NSA për të rrëmbyer kompjuterët.
Zbulimet e fundit
Zbulimet e reja nga një firmë sigurie "Akamai" thonë se cenueshmëria e UPnProxy abuzon me protokollin e zakonshëm të rrjetit Plug and Play.
Dhe që tani mund të synoni kompjuterët e pahapur prapa firewall-it të routerit.
Sulmuesit tradicionalisht përdorin UPnProxy për të caktuar përsëri cilësimet e transferimit të portit në një router të prekur.
Kështu, ata lejuan bllokimin e rrugëve dhe trafikun me qëllim të keq. Prandaj, kjo mund të përdoret për të filluar sulmet e mohimit të shërbimit ose përhapjen e malware ose spam.
Në shumicën e rasteve, kompjuterët në rrjet nuk preken sepse ato ishin të mbrojtura nga rregullat e përkthimit të adresës së rrjetit të routerit (NAT).
Por tani, Akamai thotë se pushtuesit përdorin shfrytëzime më të fuqishme për të kaluar nëpër router dhe për të infektuar kompjutera individualë në rrjet.
Kjo u jep pushtuesve një numër shumë më të madh të pajisjeve që mund të arrihen. Gjithashtu, kjo e bën rrjetin me qëllim të keq shumë më të fortë.
"Ndërsa është për të ardhur keq për të parë sulmuesit që përdorin UPnProxy dhe në mënyrë aktive përfitojnë prej tij për të sulmuar sisteme që ishin të mbrojtura më parë pas NAT, kjo do të ndodhë përfundimisht," tha Chad Seaman nga Akamai, i cili shkroi raportin.
Sulmuesit përdorin dy lloje të shfrytëzimeve të injektimit:
Nga të cilat është e para EternalBlue, kjo është një derë e pasme e zhvilluar nga Agjencia e Sigurisë Kombëtare për të sulmuar kompjuterët me Windows të instaluar.
Ndërsa në rastin e përdoruesve të Linux ekziston një shfrytëzim i quajtur EternalRed, në të cilën sulmuesit hyjnë në mënyrë të pavarur përmes protokollit Samba.
Rreth EternalRed
Importantshtë e rëndësishme të dini se lVersioni 3.5.0 i Samba ishte i prekshëm nga kjo e metë e ekzekutimit të kodit në distancë, e cila lejoi një klient të dëmshëm të ngarkonte një bibliotekë të përbashkët në një pjesë të shkruar, dhe më pas ngarkoni serverin dhe ekzekutojeni atë.
Një sulmues mund të hyjë në një makinë Linux dhe ngriti privilegjet duke përdorur një dobësi lokale për të fituar qasje në rrënjë dhe për të instaluar një ransomware të ardhshëm të mundshëmose, e ngjashme me këtë kopje të softuerit WannaCry për Linux.
Ndërsa UPnProxy modifikon hartën e portit në një router të prekshëm. Familja e përjetshme adreson portet e shërbimit të përdorura nga SMB, një protokoll i përbashkët rrjeti i përdorur nga shumica e kompjuterëve.
Së bashku, Akamai e quan sulmin e ri "EternalSilence" duke zgjeruar në mënyrë dramatike përhapjen e rrjetit proxy për shumë pajisje më të prekshme.
Mijëra kompjuterë të infektuar
Akamai thotë se më shumë se 45.000 pajisje janë tashmë nën kontrollin e rrjetit të madh. Potencialisht, ky numër mund të arrijë më shumë se një milion kompjuterë.
Qëllimi këtu nuk është një sulm i synuar "por" isshtë një përpjekje për të përfituar nga shfrytëzimet e provuara, duke nisur një rrjet të madh në një hapësirë relativisht të vogël, me shpresën e marrjes së disa pajisjeve më parë të paarritshme.
Fatkeqësisht udhëzimet e Përjetshme janë të vështira për t'u zbuluar, duke e bërë të vështirë për administratorët të dinë nëse janë të infektuar.
Kjo tha, rregullimet për EternalRed dhe EternalBlue dhe u lançuan pak më shumë se një vit më parë, por miliona pajisje mbeten të papatchched dhe të prekshme.
Numri i pajisjeve të prekshme po zvogëlohet. Sidoqoftë, Seaman tha që tiparet e reja të UPnProxy "mund të jenë një përpjekje e fundit për të përdorur shfrytëzime të njohura kundër një sërë makinerish ndoshta të pakorigjuara dhe më parë të paarritshme".