Mais de um ano após os patches terem sido lançados para frustrar os poderosos exploits da NSA que vazaram on-line, centenas de milhares de computadores continuam sem correção e vulneráveis. Primeiro eles foram usados ??para espalhar ransomware. Então vieram os ataques de mineração de criptomoedas. Agora, os pesquisadores dizem que os hackers (ou crackers) estão usando as ferramentas vazadas para criar uma rede de proxy mal-intencionada ainda maior. Portanto, hackers usam ferramentas da NSA para sequestro de computadores.
Descobertas recentes
Novas descobertas da gigante de segurança Akamai dizem que a vulnerabilidade UPnProxy abusa do protocolo de rede universal Plug and Play. Agora ela pode direcionar computadores sem patches atrás do firewall do roteador.
Os invasores usavam tradicionalmente o UPnProxy para remapear as configurações de encaminhamento de porta em um roteador afetado. Assim, eles permitiam a ofuscação e o roteamento de tráfego mal-intencionado. Portanto, isso pode ser usado para lançar ataques de negação de serviço ou espalhar malware ou spam. Na maioria dos casos, os computadores da rede não eram afetados porque eram protegidos pelas regras de conversão de endereços de rede (NAT) do roteador.
Mas agora, a Akamai diz que os invasores usam mais poderosas explorações para atravessar o roteador e infectar computadores individuais na rede. Isso dá aos invasores um número muito maior de dispositivos que podem ser atingidos. Além disso, torna a rede mal-intencionada muito mais forte.
Embora seja lamentável ver o UPnProxy sendo ativamente aproveitado para atacar sistemas anteriormente protegidos atrás do NAT, isso deve acontecer eventualmente, disse Chad Seaman, da Akamai, que escreveu o relatório.
Silêncio Eterno
As injeções usam dois exploits:
- o EternalBlue, um backdoor desenvolvido pela National Security Agency para atacar computadores Windows;
- e seu exploit “irmão” EternalRed, usado para dispositivos Linux, encontrados independentemente pelo Samba.
O UPnProxy modifica o mapeamento de porta em um roteador vulnerável. A família Eternal tem como alvo as portas de serviço usadas pelo SMB, um protocolo de rede comum usado na maioria dos computadores.
Juntos, a Akamai chama o novo ataque de “EternalSilence“, expandindo drasticamente a disseminação da rede proxy para muitos dispositivos mais vulneráveis.
Milhares de computadores infectados
A Akamai diz que mais de 45.000 dispositivos já estão sob o controle da enorme rede. Potencialmente, esse número pode chegar a mais de um milhão de computadores.
O objetivo aqui não é um ataque direcionado”, disse Seaman. “É uma tentativa de alavancar exploits testados, lançando uma ampla rede em um espaço relativamente pequeno, na esperança de pegar vários dispositivos anteriormente inacessíveis.
Mas intrusões baseadas em Eternal são difíceis de detectar, dificultando para os administradores saberem se estão infectados. Dito isso, as correções para EternalBlue e EternalRed estão disponíveis há mais de um ano, mas milhões de dispositivos permanecem sem correção e vulneráveis.
O número de dispositivos vulneráveis ??está diminuindo. |No entanto, Seaman disse que os novos recursos do UPnProxy “podem ser um último esforço para utilizar as explorações conhecidas contra um conjunto de máquinas possivelmente sem correção e anteriormente inacessíveis”.
Correção deve ser feita imediatamente
Nem mesmo desabilitar o UPnP é uma solução única. Seaman disse que é “o equivalente a tapar o buraco no barco. Porém, não faz nada para retirar a água que entrou no seu navio afundando”.
A atualização de um roteador afetado e a desativação do UPnP podem remediar o problema. Porém, Seaman defende que o roteador deva ser “completamente substituído”.
