Нешто више од годину дана након распоређивања ради спречавања снажних подвига НСА која је процурила на мрежи, Стотине хиљада рачунара остају неисправљени и рањиви.
Прво су кориштени за ширење рансомваре-а, а затим су услиједили напади на рударење крипто валута.
Сада, истраживачи кажу да хакери (или крекери) користе алате за филтрирање да би створили још већу злонамерну прокси мрежу. Стога хакери користе НСА алате за отмицу рачунара.
Недавна открића
Нова открића заштитарске фирме „Акамаи“ кажу да рањивост УПнПроки злоупотребљава уобичајени универзални мрежни протокол Плуг анд Плаи.
И да сада можете циљати неотпаковане рачунаре иза заштитног зида рутера.
Нападачи традиционално користе УПнПроки за поновно додељивање поставки прослеђивања порта на погођеном рутеру.
Тако су дозволили замућивање и злонамерно усмеравање саобраћаја. Стога се ово може користити за покретање напада ускраћивања услуге или ширење малвера или нежељене поште.
У већини случајева то не утиче на рачунаре на мрежи јер су заштићени правилима превођења мрежних адреса рутера (НАТ).
Али сада, Акамаи каже да нападачи користе моћније експлоатације да би прошли кроз рутер и заразили појединачне рачунаре на мрежи.
То освајачима даје много већи број уређаја до којих се може доћи. Такође, чини злонамерну мрежу много јачом.
„Иако је несрећно видети нападаче како користе УПнПроки и активно га користе за напад на системе који су раније били заштићени иза НАТ-а, то ће се на крају догодити“, рекао је Цхад Сеаман из Акамаи-а, који је написао извештај.
Нападачи користе две врсте ињекционих експлоатација:
Од којих је прва ЕтерналБлуе, ово су задња врата која је развила Агенција за националну безбедност за напад на рачунаре са инсталираним Виндовс-ом.
Док у случају корисника Линука постоји екплоит тзв ЕтерналРед, у којем нападачи приступају независно путем протокола Самба.
О ЕтерналРед-у
Важно је знати да лСамба верзија 3.5.0 била је рањива на ову даљинску грешку у извршавању кода, која је злонамерном клијенту омогућила да учита заједничку библиотеку на дељени запис, а затим нека се сервер учита и покрене.
Нападач може приступити Линук машини и подижите привилегије користећи локалну рањивост да бисте стекли роот приступ и инсталирали могући будући рансомвареили, слично овој реплици ВаннаЦри софтвера за Линук.
Док УПнПроки модификује мапирање порта на рањивом рутеру. Вечна породица обраћа се сервисним портовима које користи СМБ, уобичајени мрежни протокол који користи већина рачунара.
Заједно, Акамаи нови напад назива „ЕтерналСиленце“ драматично проширујући ширење проки мреже за многе рањивије уређаје.
Хиљаде заражених рачунара
Акамаи каже да је више од 45.000 уређаја већ под контролом огромне мреже. Потенцијално, овај број може досећи више од милион рачунара.
Циљ овде није циљани напад „већ“ То је покушај искоришћавања доказаних експлоатација, покретање велике мреже на релативно малом простору, у нади да ће покупити неколико претходно неприступачних уређаја.
Нажалост, вечита упутства је тешко открити, што отежава администраторима да знају да ли су заражени.
То је речено, исправци за ЕтерналРед и ЕтерналБлуе објављени су пре нешто више од годину дана, али милиони уређаја остају неоткривени и рањиви.
Број рањивих уређаја се смањује. Међутим, Сеаман је рекао да ће нове функције УПнПроки "можда бити последњи покушај коришћења познатих експлоатација против скупа можда неисправљених и раније неприступачних машина".