Chỉ hơn một năm sau khi triển khai các khai thác mạnh mẽ của NSA bị rò rỉ trực tuyến, Hàng trăm nghìn máy tính vẫn chưa được sửa lỗi và dễ bị tấn công.
Đầu tiên, chúng được sử dụng để phát tán ransomware, sau đó là các cuộc tấn công khai thác tiền điện tử.
Bây giờ, Các nhà nghiên cứu cho biết tin tặc (Hoặc kẻ bẻ khóa) đang sử dụng các công cụ lọc để tạo ra một mạng proxy độc hại lớn hơn nữa. Do đó, tin tặc sử dụng các công cụ của NSA để chiếm quyền điều khiển máy tính.
Khám phá gần đây
Phát hiện mới của công ty bảo mật "Akamai" nói rằng lỗ hổng UPnProxy lạm dụng giao thức mạng phổ biến Plug and Play.
Và bây giờ bạn có thể nhắm mục tiêu các máy tính chưa được vá sau tường lửa của bộ định tuyến.
Những kẻ tấn công thường sử dụng UPnProxy để gán lại cài đặt chuyển tiếp cổng trên bộ định tuyến bị ảnh hưởng.
Do đó, chúng cho phép xáo trộn và định tuyến lưu lượng độc hại. Do đó, điều này có thể được sử dụng để khởi chạy các cuộc tấn công từ chối dịch vụ hoặc phát tán phần mềm độc hại hoặc thư rác.
Trong hầu hết các trường hợp, các máy tính trong mạng không bị ảnh hưởng vì chúng được bảo vệ bởi các quy tắc dịch địa chỉ mạng (NAT) của bộ định tuyến.
Nhưng bây giờ, Akamai nói rằng những kẻ xâm lược sử dụng các cách khai thác mạnh mẽ hơn để đột nhập bộ định tuyến và lây nhiễm các máy tính cá nhân trong mạng.
Điều này mang lại cho những kẻ xâm lược một số lượng lớn hơn nhiều thiết bị có thể đạt được. Ngoài ra, nó làm cho mạng độc hại mạnh hơn nhiều.
Chad Seaman của Akamai, người viết báo cáo cho biết: “Mặc dù thật đáng tiếc khi thấy những kẻ tấn công sử dụng UPnProxy và chủ động lợi dụng nó để tấn công các hệ thống trước đây đã được bảo vệ sau NAT, nhưng cuối cùng điều đó sẽ xảy ra,” Chad Seaman của Akamai, người viết báo cáo.
Những kẻ tấn công sử dụng hai loại khai thác tiêm:
Trong đó đầu tiên là Vĩnh cửu, đây là một cửa sau được phát triển bởi Cơ quan An ninh Quốc gia để tấn công máy tính cài đặt Windows.
Trong trường hợp người dùng Linux, có một khai thác được gọi là EternalRed, trong đó những kẻ tấn công truy cập độc lập thông qua giao thức Samba.
Về EternalRed
Điều quan trọng là phải biết rằng lSamba phiên bản 3.5.0 dễ bị tấn công bởi lỗ hổng thực thi mã từ xa này, cho phép một ứng dụng khách độc hại tải một thư viện được chia sẻ lên một chia sẻ có thể ghi, và sau đó yêu cầu máy chủ tải và chạy nó.
Kẻ tấn công có thể truy cập vào một máy Linux và nâng cao đặc quyền bằng cách sử dụng lỗ hổng cục bộ để có quyền truy cập root và cài đặt phần mềm tống tiền có thể có trong tương laihoặc, tương tự như bản sao phần mềm WannaCry này cho Linux.
Trong khi UPnProxy sửa đổi ánh xạ cổng trên bộ định tuyến dễ bị tấn công. Họ vĩnh cửu giải quyết các cổng dịch vụ được sử dụng bởi SMB, một giao thức mạng phổ biến được hầu hết các máy tính sử dụng.
Cùng nhau, Akamai gọi cuộc tấn công mới là "EternalSilence" mở rộng đáng kể sự lây lan của mạng proxy cho nhiều thiết bị dễ bị tấn công hơn.
Hàng nghìn máy tính bị nhiễm
Akamai cho biết hơn 45.000 thiết bị đã nằm dưới sự kiểm soát của mạng lưới khổng lồ. Về tiềm năng, con số này có thể lên tới hơn một triệu máy tính.
Mục tiêu ở đây không phải là một cuộc tấn công có chủ đích "mà là" Đó là một nỗ lực để tận dụng các khai thác đã được kiểm chứng, khởi chạy một mạng lớn trong một không gian tương đối nhỏ, với hy vọng nhặt được một số thiết bị không thể truy cập trước đó.
Thật không may, các hướng dẫn của Eternal rất khó phát hiện, khiến quản trị viên khó biết liệu chúng có bị nhiễm hay không.
Điều đó đang được nói, các bản sửa lỗi cho EternalRed và EternalBlue và đã được phát hành chỉ hơn một năm trước, nhưng hàng triệu thiết bị vẫn chưa được vá và dễ bị tấn công.
Số lượng thiết bị dễ bị tấn công ngày càng giảm. Tuy nhiên, Seaman cho biết các tính năng UPnProxy mới "có thể là một nỗ lực cuối cùng để sử dụng các khai thác đã biết chống lại một tập hợp các máy có thể chưa được điều chỉnh và không thể truy cập trước đó."