Foto: AP
Een Microsoft-exploit openbaar gemaakt vorig jaar na het beklemd raken van de National Security Agency heeft nu al gebruikt door hackers om het compromis meer dan 45.000 internet routers, aldus de onderzoekers.
Cloud service provider en content delivery network Akamai zei in een blog bericht donderdag dat de tienduizenden van routers was misbruikt door aanvallers gericht op kwetsbare implementaties van Universal Plug and Play (UPnP) is een veel gebruikt protocol waarmee apparaten elkaar automatisch herkennen elkaar in een lokaal netwerk.
Akamai gemeld dat uit een zwembad van 3,5 miljoen apparaten, ongeveer 8 procent droeg de kwetsbare UPnP-versie.
“De slachtoffers van deze aanval zal worden overgeleverd aan de genade van de aanvallers, omdat deze machines bestaande op het internet die eerder werden gesegmenteerd, en ze hebben geen idee dit is gebeurt”, aldus het bedrijf. “Bovendien, de machines in het netwerk, die had een lage prioriteit als het ging om vlekken zal worden een makkelijke prooi.”
UPnP is een lange track record van het zijn aangetast door hackers, vaak door het blootstellen van apparaten op het internet, die alleen zichtbaar zijn op lokaal niveau. Akamai gerapporteerd deze zomer dat UPnP werd gebruikt door hackers te verbergen verkeer in een georganiseerd en wijdverbreide misbruik campagne.”
De nieuwe aanval—die bloot-poorten 139 en 445—maakt gebruik van EternalBlue, een exploit is ontwikkeld voor de NSA, die werd gestolen en vervolgens vrijgegeven aan het publiek door het hacken van de groep Schaduw Makelaars. Het werd later een onderdeel van de WannaCry ransomware aanvallen en de NotPetya ruitenwisser aanval, die masqueraded als ransomware (fakesomware?) maar het was eigenlijk gewoon gemaakt om te vernietigen shit.
Twee weken geleden, Ars Technica, die voor het eerst gemeld op Akamai ‘ s onderzoek, gedetailleerde hoe UPnP had gebruikt voor het maken van een 100.000-router botnet. De massa-infectie werd ontdekt door Netlab 360.
Helaas, de onderzoekers waren niet in staat om te vertellen wat er precies is gebeurt met mensen van 45.000 besmet routers. Maar een succesvolle aanval onderzoekers zei: “zou kunnen opleveren een doel rijke omgeving, de openstelling van de kans voor zulke dingen als ransomware aanvallen, of een blijvende voet aan de grond op het netwerk.”
Aanvallers kunnen worden afgewend door het houden van de router firmware goed bijgewerkt en door het uitschakelen van UPnP. Akamai pleit ook voor het kopen van een nieuwe router post-infectie. Maar als je goedkope, alleen het uitschakelen van UPnP op een router al besmet is misschien niet de truc doen; het uitvoeren van een reset naar de fabrieksinstellingen gewoon veilig.
[Ars Technica]
Deel Dit Verhaal