Routers comprometidos por ataque de inyeccion UPnP NAT

Alrededor de 45,000 enrutadores se vieron comprometidos con un ataque de inyección UPnP NAT que apunta a los servicios SMB de acuerdo con un informe SITR de Akamai.

Los atacantes utilizan un sistema de proxy malicioso denominado UPnProxy, que anteriormente era empleado por actores maliciosos a principios de 2018 para enrutar el tráfico de correo no deseado, fraude de clics, DDoS o campañas de phishing.

El 7 de noviembre, los investigadores de Akamai descubrieron que la vulnerabilidad de UPnProxy que afecta a alrededor de 277,000 dispositivos de un total de 3.5 millones de víctimas potenciales ya se utilizó para comprometer aproximadamente 45,000 enrutadores en una campaña extensa.

Sin embargo, esta vez, la investigación de Akamai encontró que el grupo de amenazas detrás de la campaña UPnProxy está usando un ataque previamente teórico que permitiría a los atacantes explotar las computadoras detrás de los enrutadores de Internet comprometidos.

El nuevo tipo de ataques utiliza una familia de inyecciones llamada EternalSilence que expone los puertos TCP 139 y 445 a Internet en dispositivos protegidos por enrutadores y se cree que emplean ataques eternos filtrados por la NSA para comprometer sus objetivos.

Como lo descubrió Akamai, el grupo de amenazas que emplea EternalSilence está tratando de infiltrarse en millones de máquinas que los usuarios creen que están protegidas por enrutadores que ya estaban comprometidos al aprovechar las vulnerabilidades EternalBlue y EternalRed SMB y Samba.

La vulnerabilidad EternalSilence expone los dispositivos previamente protegidos a los ataques de servicio SMB

"Actualmente, los 45,113 enrutadores con inyecciones confirmadas exponen un total de 1.7 millones de máquinas únicas a los atacantes", dijo Akamai en su análisis . "Hemos llegado a esta conclusión al registrar el número de IP únicas expuestas por enrutador y luego las agregamos".

La explotación de EternalBlue ha sido utilizada con éxito por innumerables campañas de malware para comprometer las computadoras de Windows y lanzar ataques de WannaCry, Petya y NotPetya en otras máquinas.

Además, el ataque a EternalRed es utilizado por los adversarios para atacar máquinas Linux que ejecutan instalaciones vulnerables de Samba, y luego infectarlas con malware criptográfico.

Akamai concluyó que "el objetivo aquí no es un ataque dirigido. Es un intento de aprovechar las hazañas probadas y verdaderas, lanzar una amplia red en un estanque relativamente pequeño, con la esperanza de recoger un conjunto de dispositivos previamente inaccesibles."

Además, dado que los piratas informáticos ahora pueden atacar máquinas vulnerables a los ataques EternalBlue y EternalRed que anteriormente estaban protegidos por enrutadores, un lote completamente nuevo de dispositivos simples para comprometer están expuestos a estas dos vulnerabilidades de la NSA

Fecha actualización el 2021-11-29. Fecha publicación el 2018-11-29. Categoría: routers Autor: Oscar olg Mapa del sitio Fuente: softpedia
routers