Lite över ett år efter utplaceringen av den för att motverka NSA: s mäktiga bedrifter som läckte ut online, Hundratusentals datorer förblir okorrigerade och sårbara.
Först användes de för att sprida ransomware, sedan kom kryptovaluta-gruvattacker.
nu, forskare säger att hackare (eller crackers) använder filtreringsverktygen för att skapa ett ännu större skadligt proxynätverk. Därför använder hackare NSA-verktyg för att kapa datorer.
Senaste upptäckter
Nya upptäckter av ett säkerhetsföretag "Akamai" säger att UPnProxy-sårbarheten missbrukar det gemensamma Plug and Play-universella nätverksprotokollet.
Och att du nu kan rikta in de opatchade datorerna bakom routerns brandvägg.
Angripare använder traditionellt UPnProxy för att omfördela portvidarebefordringsinställningar på en berörd router.
Således tillät de fördunkling och skadlig trafikrutt. Därför kan detta användas för att starta denial of service-attacker eller sprida skadlig kod eller skräppost.
I de flesta fall påverkas inte datorer i nätverket eftersom de skyddades av routerns nätverksadressöversättningsregler (NAT).
Men nu, Akamai säger att inkräktare använder mer kraftfulla exploater för att komma igenom routern och infektera enskilda datorer i nätverket.
Detta ger inkräktarna ett mycket större antal enheter som kan nås. Det gör också det skadliga nätverket mycket starkare.
"Även om det är olyckligt att se angripare använda UPnProxy och aktivt dra nytta av det för att attackera system som tidigare var skyddade bakom NAT, så kommer det så småningom att hända", säger Chad Seaman från Akamai, som skrev rapporten.
Angripare använder sig av två typer av injektionsexploater:
Varav den första är EternalBlue, detta är en bakdörr som utvecklats av National Security Agency för att attackera datorer med Windows installerat.
Medan det gäller Linux-användare finns det ett utnyttjande som kallas EternalRed, där angriparna får åtkomst oberoende genom Samba-protokollet.
Om EternalRed
Det är viktigt att veta att jagSamba version 3.5.0 var sårbar för detta fjärrkörningsfel, vilket gjorde det möjligt för en skadlig klient att ladda ett delat bibliotek på en skrivbar del, och sedan ladda servern och köra den.
En angripare kan komma åt en Linux-maskin och höja behörigheter med hjälp av en lokal sårbarhet för att få root-åtkomst och installera en möjlig framtida ransomwareeller, liknande den här WannaCry-programreplikan för Linux.
UPnProxy ändrar portmappningen på en sårbar router. Den eviga familjen adresserar tjänstportarna som används av SMB, ett vanligt nätverksprotokoll som används av de flesta datorer.
Tillsammans kallar Akamai den nya attacken "EternalSilence" som dramatiskt utvidgar spridningen av proxynätverket för många mer utsatta enheter.
Tusentals infekterade datorer
Akamai säger att mer än 45.000 XNUMX enheter redan är under kontroll av det enorma nätverket. Potentiellt kan detta antal nå mer än en miljon datorer.
Målet här är inte en riktad attack "utan" Det är ett försök att dra nytta av beprövade exploateringar, lansera ett stort nätverk i ett relativt litet utrymme, i hopp om att plocka upp flera tidigare oåtkomliga enheter.
Tyvärr är det svårt att upptäcka eviga instruktioner, vilket gör det svårt för administratörer att veta om de är smittade.
Med detta sagt, korrigeringarna för EternalRed och EternalBlue och släpptes för drygt ett år sedan, men miljontals enheter förblir otappade och sårbara.
Antalet sårbara enheter minskar. Seaman sa emellertid att de nya UPnProxy-funktionerna "kan vara ett sista försök att använda kända exploateringar mot en uppsättning möjligen okorrigerade och tidigare otillgängliga maskiner."