Mais de um ano após os patches serem lançados para frustrar os poderosos exploits da NSA que vazaram online, centenas de milhares de computadores estão sem correção e vulneráveis. Primeiro eles foram usados ​​para espalhar ransomware, depois foram ataques de mineração de criptomoedas.

Agora, os pesquisadores dizem que os hackers estão usando as ferramentas vazadas para criar uma rede de proxy mal-intencionado ainda maior. Novas descobertas da gigante de segurança Akamai dizem que a vulnerabilidade UPnProxy relatada anteriormente, que abusa do protocolo de rede universal Plug and Play, agora pode direcionar computadores sem patches atrás do firewall do roteador.

Os invasores usavam tradicionalmente o UPnProxy para remapear as configurações de encaminhamento de porta em um roteador afetado, permitindo a ofuscação e o roteamento de tráfego mal-intencionado, que pode ser usado para lançar ataques distribuídos de negação de serviço ou espalhar malware ou spam. Na maioria dos casos, os computadores da rede não eram afetados porque eram protegidos pelas regras de conversão de endereço de rede (NAT) do roteador. Mas agora, a Akamai diz que os invasores usam mais poderosas explorações para atravessar o roteador e infectar computadores individuais na rede.

Isso dá aos invasores um escopo muito maior de dispositivos que podem ser atingidos e torna a rede mal-intencionada muito mais forte. "Embora seja lamentável ver o UPnProxy sendo ativamente aproveitado para atacar sistemas anteriormente protegidos atrás do NAT, isso acabaria acontecendo", disse Chad Seaman, da Akamai, que escreveu o relatório.

Hacker
Hackers utilizam ferramentas vazadas para criar uma rede de proxy mal-intencionado

"O objetivo aqui não é um ataque direcionado", disse Seaman. "É uma tentativa de alavancar exploits testados e testados, lançando uma ampla rede em um lago relativamente pequeno, na esperança de coletar um conjunto de dispositivos anteriormente inacessíveis." 

Mas intrusões baseadas em Eternal são difíceis de detectar, o que dificulta para os administradores saberem se estão infectados. Dito isso, as correções para EternalBlue e EternalRed estão disponíveis há mais de um ano, mas milhões de dispositivos permanecem sem correção e vulneráveis. O número de dispositivos vulneráveis ​​está diminuindo, mas Seaman disse que os novos recursos do UPnProxy "podem ser um último esforço para utilizar as explorações conhecidas contra um conjunto de máquinas possivelmente sem correção e anteriormente inacessíveis".

Seaman disse que é "o equivalente a tapar o buraco no barco, mas não faz nada para abordar a água que entrou no seu navio afundando". A atualização de um roteador afetado e a desativação do UPnP podem remediar o problema, mas Seaman disse em sua opinião que o roteador provavelmente deveria ser "completamente substituído".

 Fonte: TechCrunch