Più di un anno dopo le patch sono state rilasciate per contrastare i potenti exploit della NSA che sono trapelati online, centinaia di migliaia di computer sono privi di patch e vulnerabili.
Prima erano usati per diffondere il ransomware. Poi sono stati gli attacchi di criptovaluta mineraria. Ora, i ricercatori dicono che gli hacker stanno usando gli strumenti trapelati per creare una rete di proxy maligni ancora più grande.
Le nuove scoperte del gigante della sicurezza Akamai dicono che la vulnerabilità UPnProxy, precedentemente segnalata, che abusa del comune protocollo di rete Plug and Play universale, può ora indirizzare i computer senza patch dietro il firewall del router.
Gli aggressori usavano tradizionalmente UPnProxy per rimappare le impostazioni di port forwarding su un router interessato, consentendo l'offuscamento e l'instradamento del traffico dannoso, che può essere utilizzato per lanciare attacchi denial-of-service distribuiti o diffondere malware o spam. Nella maggior parte dei casi, i computer della rete non sono stati interessati dal fatto che sono stati protetti dalle regole NAT (network address translation) del router.
Ma ora, Akamai dice che gli aggressori usano exploit più potenti per scavare attraverso il router e infettare i singoli computer sulla rete. Ciò conferisce agli aggressori una gamma molto maggiore di dispositivi che può essere bersaglio e rende la rete dannosa molto più forte.
"Anche se è spiacevole vedere che UPnProxy sia attivamente sfruttato per attaccare i sistemi precedentemente protetti dal NAT, alla fine è stato inevitabile", ha detto Chad Seaman di Akamai, che ha scritto il rapporto.
Le iniezioni utilizzano due exploit: EternalBlue, una backdoor sviluppata dalla National Security Agency per i computer Windows di destinazione; e il suo "fratello" sfrutta EternalRed, utilizzato per dispositivi Linux backdoor, trovato indipendentemente da Samba. Laddove UPnProxy modifica la mappatura delle porte su un router vulnerabile, la famiglia di exploit Eternal punta alle porte di servizio utilizzate da SMB, un protocollo di rete comune utilizzato sulla maggior parte dei computer.
Insieme, Akamai chiama il nuovo attacco "EternalSilence", espandendo drasticamente la diffusione della rete proxy verso molti altri dispositivi vulnerabili.
Akamai afferma che più di 45.000 dispositivi sono già sotto l'occhio della massiccia rete - potenzialmente pari a oltre un milione di computer, in attesa di comandi.
"L'obiettivo qui non è un attacco mirato", ha dichiarato Seaman. "È un tentativo di sfruttare gli exploit provati e veri e pronti, gettando una rete larga in uno stagno relativamente piccolo, nella speranza di raccogliere una piscina di dispositivi precedentemente inaccessibili".
Ma le intrusioni basate sull'eterno sono difficili da rilevare, rendendo difficile per gli amministratori sapere se sono infetti. Detto questo, le correzioni sia per EternalBlue che per EternalRed sono disponibili da oltre un anno, ma milioni di dispositivi rimangono senza patch e vulnerabili.
Il numero di dispositivi vulnerabili sta diminuendo, ma Seaman ha detto che le nuove funzionalità di UPnProxy "potrebbero essere l'ultimo tentativo di utilizzare gli exploit conosciuti contro un insieme di macchine probabilmente prive di patch e precedentemente inaccessibili".
Patching contro gli exploit Eternal è meglio tardi che mai, ma non è un proiettile d'argento per risolvere il problema. Anche disabilitare UPnP non è una soluzione one-stop. Seaman ha detto che è "l'equivalente di tappare il buco nella barca, ma non fa nulla per affrontare l'acqua che è entrata nella tua nave che affonda".
Lampeggiare un router interessato e disabilitare UPnP può risolvere il problema, ma Seaman ha detto che il router dovrebbe probabilmente essere "completamente sostituito".
