Тревожный эксплойт Eternal Silence UPnP подвергает 1,7 миллиона устройств Wi-Fi атакам зомби

вечная тишина wi fi атаки новости Еще в 2018 году группа исследователей безопасности из Akamai выпустила технический документ с подробным описанием вредоносной прокси-системы, которую они назвали UPnProxy, которая теперь используется в новой атаке. Вредоносная прокси-система получила свое название от Universal Plug and Play (UPnP), которая представляет собой набор сетевых протоколов, позволяющих устройствам в сети легче подключаться друг к другу и устанавливать функциональные сетевые службы путем автоматического создания правил переадресации портов на маршрутизаторе. .

Хотя предполагаемая функциональность UPnP может быть удобной, в результате страдает безопасность. UPnP оставил маршрутизаторы и миллионы подключенных устройств открытыми для различных уязвимостей за годы, прошедшие после его выпуска.

Многие устройства с поддержкой UPnP предоставляют услуги через свой интерфейс глобальной сети (WAN), что делает их уязвимыми для внедрения удаленной трансляции сетевых адресов (NAT). По словам исследователей Akamai, злоумышленники воспользовались этой уязвимостью, чтобы внедрить хосты с интернет-маршрутизацией в таблицы NAT как минимум 45 000 из 277 000 маршрутизаторов, уязвимых для этой формы атаки.
вечная тишина wi fi атаки карта сети новости
Эти атаки превращают маршрутизаторы в функциональные прокси-серверы, которые объединены в две отдельные сети, как показано на карте сети выше. Исследователи предположили, что эти вредоносные прокси-сети использовались для сокрытия рассылки спама, фишинга, мошенничества с кликами и кредитными картами, DDoS-атак, ботнетов и распространения вредоносных программ.

Однако недавно исследователи обнаружили и раскрыли новый способ, которым злоумышленники используют UPnProxy. Они обнаружили новое семейство инъекций, которые пытаются раскрыть TCP-порты 139 и 445 на устройствах за скомпрометированными маршрутизаторами, предоставляя злоумышленникам сетевой доступ к подключенным устройствам. Злоумышленники, похоже, используют этот доступ к сети, пытаясь скомпрометировать подключенные устройства с помощью эксплойтов EternalBlue и EternalRed.

EternalBlue влияет на устройства Windows и используется для запуска разрушительных атак, таких как WannaCry и NotPetya, даже после выпуска исправлений. EternalRed, с другой стороны, нацелен на устройства на базе Linux с помощью Samba и использовался в ряде атак, получив название SambaCry. Хотя для обоих этих эксплойтов есть исправления, некоторые устройства по-прежнему остаются уязвимыми, и исследователи обнаружили в общей сложности 1,7 миллиона устройств, подключенных к скомпрометированным маршрутизаторам.

Исследователи назвали это новое семейство вредоносных инъекций Eternal Silence, опираясь на использование семейства эксплойтов Eternal и слова «galleta silenciosa», что на испанском означает «тихое печенье», содержащееся в новых наборах правил.

Оригинальный официальный документ исследовательской группы содержит список из почти 400 уязвимых моделей маршрутизаторов, наибольшее число из которых ASUS и ipTIME. Те, кто хочет проверить свои маршрутизаторы на наличие UPnProxy и EternalSilence, могут найти bash-скрипт, используемый для аудита записей таблицы NAT маршрутизатора, а также дополнительную информацию в блоге Akamai .

Источник (англ.)

Поставить оценку
Кофебрейкер | Интернет-журнал