277K bộ định tuyến có lỗ hổng khiến 1,7 triệu thiết bị có nguy cơ bị tấn công EternalSilence SMB

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi WhiteHat News #ID:0911, 29/11/18, 11:11 AM.

  1. WhiteHat News #ID:0911

    WhiteHat News #ID:0911 WhiteHat Support

    Tham gia: 30/07/14, 10:07 AM
    Bài viết: 534
    Đã được thích: 60
    Điểm thành tích:
    48
    Khoảng 45.000 bộ định tuyến đã bị tấn công chèn UPnP NAT, đang nhắm vào các dịch vụ SMB.

    277k-router-shielded-machines-exposed-by-eternalsilence-to-smb-attacks-524037-2.png

    Những kẻ tấn công sử dụng một hệ thống proxy độc hại có tên UpnProxy. Hệ thống này trước đó từng bị hacker sử dụng hồi đầu năm 2018 để định tuyến lưu lượng truy cập trong spam, click lỗi, DDoS hoặc các chiến dịch lừa đảo.

    Ngày 7/ 11, các nhà nghiên cứu của Akamai phát hiện lỗ hổng UPnProxy ảnh hưởng tới khoảng 277.000 thiết bị thuộc tổng số 3,5 triệu nạn nhân đã bị sử dụng để chiếm quyền điều khiển khoảng 45.000 bộ định tuyến trong một chiến dịch lớn.

    Tuy nhiên, lần này, nghiên cứu của Akamai phát hiện ra rằng nhóm hacker đứng đằng sau chiến dịch UPnProxy đang sử dụng một cuộc tấn công lý thuyết trước đó, cho phép kẻ tấn công khai thác các máy tính đứng sau các bộ định tuyến Internet bị tấn công.

    Loại tấn công mới này sử dụng một dòng mã độc injection có tên EternalSilence để lộ các cổng TCP 139 và 445 trên mạng Internet trên các thiết bị được bảo vệ bằng bộ định tuyến và được cho là sử dụng mã độc Eternal do NSA tiết lộ để khai thác các mục tiêu của chúng.

    Theo phát hiện của Akamai, nhóm hacker sử dụng EternalSilence, đang cố xâm nhập hàng triệu thiết bị được cho là an toàn bằng các bộ định tuyến đã bị tấn công bằng việc sử dụng các mã khai thác EternalBlue và EternalRed SMB và Samba.

    Lỗ hổng EternalSilence khiến các thiết bị được bảo vệ trước đó bị tấn công dịch vụ SMB

    Akamai cho hay: “Hiện tại, 45,113 bộ định tuyến có injection khiến 1,7 thiết bị có nguy cơ bị tấn công”.

    Mã khai thác EternalBlue đã được sử dụng thành công trong vô số các chiến dịch mã độc nhằm xâm nhập các máy tính Windows và khởi phát các cuộc tấn công WannaCry, Petya và NotPetya trên các thiết bị khác.

    Hơn nữa, mã khai thác EternalRed còn bị các đối tượng xấu sử dụng với mục đích tấn công những máy Linux chạy các cài đặt Samba có lỗ hổng, sau đó lây lan mã độc đào tiền ảo.

    Danh sách các thiết bị bị ảnh hưởng tại đây.

    Các chuyên gia an ninh mạng của Bkav khuyến cáo người sử dụng cần disable chế độ UpnProxy đối với các thiết bị có tên trong danh sách bị ảnh hưởng hoặc thay thế bằng sản phẩm khác.


    Nguồn: Softpedia
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan