Das IT-Sicherheitsunternehmen AKAMI berichtet in einem aktuellen Blog-Eintrag (lokale Kopie) von Cybervorfällen, bei denen eine Variante des Exploits „EternalBlue“ erneut massiv zum Einsatz kommt, der bereits Ende 2016/Anfang 2017 der NSA entwendet worden ist. EternalBlue wurde seitdem unter anderem für die WannaCry und die NotPetya-Malware-Wellen verwendet und es dürfte weltweit kein ernst zu nehmendes IT-Unternehmen geben, die von dieser kritische Lücke keine Kenntnis hat. Dennoch konnten die Analysten des Unternehmens jetzt massive Cyberattacken auf IoT-Geräte und Router feststellen, die mehrere zehntausende IT-Systeme infizieren konnten:
Earlier this year, Akamai researchers reported on how Universal Plug and Play (UPnP) was being abused by attackers to conceal traffic, creating a malicious proxy system we’ve called UPnProxy. Because UPnProxy can be leveraged to route an attacker’s traffic at will, there is a serious risk that this flaw can be leveraged in a number of attacks, including spam, phishing, click fraud, and DDoS. (..) Now, six months later, we’re seeing evidence that UPnProxy alive and well. Out of a potential victim pool of 3.5 million vulnerable devices, 277,000 of them are vulnerable to UPnProxy. Our scanning revealed at least 45,000 actively injected machines, those with the telltale routes already in their port mappings. These numbers are subject to change as the attackers continue to scan for new machines to compromise. While some of the campaigns observed in the original research have since disappeared, a new campaign of injections has been discovered. (..) In Akamai’s previous research, we highlighted the possibility that attackers could leverage UPnProxy to exploit systems living behind the compromised router. Unfortunately, data from this recent batch of injections suggests this is exactly what’s happening (..) Taking current disclosures and events into account, Akamai researchers believe that someone is attempting to compromise millions of machines living behind the vulnerable routers by leveraging the EternalBlue and EternalRed exploits.
Das Unternehmen verweist darauf, dass die Angreifer hier gezielt netzwerkfähige Geräte aus dem Endverbraucher-Segment angreifen, die aufgrund nachlässiger Aktualisierungs-Richtlinien der Hersteller kaum oder nie mit Updates versorgt werden. Dadurch klaffen in diesen Geräten zum Teil über Monate oder Jahre hinweg massive Sicherheitslücken obgleich deren Gefährdung hinlänglich bekannt ist. Angreifer können diese Geräte oft leicht unter ihre Kontrolle bringen und mit deren Hilfe dann weiterführende großflächige Attacken durchführen – kaputte Endverbraucher-IT-Systeme können sich damit durchaus zu einem kritischen Problem für andere Bereiche entwickeln, umso mehr da solche Geräte ja oft zu (hundert)tausenden mit gleichen, schadhaften Konfigurationen verkauft werden:
Asset management isn’t easy, and because some assets have a lower rotation rate or a lower patch rate, the criminals leveraging EternalSilence are looking to gain access to critical systems deemed an acceptable risk to some organizations. Sometimes these systems are overlooked because of the adage of ‚if it ain’t broke, don’t fix it‘, a stance that has come to haunt many organizations over the years.
Abschließend soll an dieser Stelle noch auf eine Publikation der RAND Cooperation hingewiesen werden, die sich mit der Lebenszeit von Exploits umfassend beschäftigt hat und dazu unter anderem die internen Analysen und „Giftschränke“ von IT-Sicherheitsunternehmen auswerten konnten. In dem Paper „Zero Days, Thousands of Nights – The Life and Times of Zero-Day Vulnerabilities and Their Exploits“ kommen die Forscher unter anderem zu dem Schluss, dass „Zero-day exploits and their underlying vulnerabilities have a rather long average life expectancy (6.9 years). Only 25 percent of vulnerabilities do not survive to 1.51 years, and only 25 percent live more than 9.5 years„. Sehr lesenswert!