Według najnowszego raportu Akamai wygląda na to, że źli aktorzy wykorzystują ponad 65 000 routerów do tworzenia sieci proxy do tajnych, a nawet nielegalnych działań. Akamai to amerykańska sieć dostarczania treści i dostawca usług w chmurze. Protokół Universal Plus and Play jest nadużywany przez operatorów botnetów i grupy cyberszpiegowskie. UPnP jest dostarczany ze wszystkimi nowoczesnymi routerami, a celem złych aktorów jest zastępowanie złego ruchu i ukrywanie prawdziwej lokalizacji.

UPnP jest obecnie celem

Protokół UPnP jest nadużywany przez atakujących, a jest to niezbędna funkcja, ponieważ ułatwia łączenie lokalnych urządzeń z Wi-Fi oraz przekazywanie portów i usług do sieci. Protokół jest niezbędny dla nowoczesnych routerów, ale jego niepewność została dowiedziona ponad dziesięć lat temu. Odtąd napastnicy nadużywają go, a teraz wygląda na to, że robią to w zupełnie nowy sposób. Źli aktorzy odkryli, że określone routery ujawniają usługi protokołu przeznaczone wyłącznie do wykrywania między urządzeniami.

Błąd ma kryptonim UPnProxy

Atakujący wykorzystują te routery do wstrzykiwania złośliwego oprogramowania do swoich tabel translacji adresów sieciowych. Wada umożliwia atakującym używanie routerów ze źle skonfigurowanymi usługami UPnP jako usług proxy dla ich własnych tajnych i nielegalnych operacji. Słabość jest znacząca, ponieważ cyberprzestępcy mogą logować się do routerów, które ujawniają swoje zaplecze w sieci.

Hakerzy mogą go wykorzystać do ominięcia zapór ogniowych i uzyskania dostępu do adresów IP w celu odbicia ruchu na inne adresy IP. Można to wykorzystać do maskowania prawdziwych lokalizacji stron phishingowych, kampanii spamowych, oszustw związanych z kliknięciami reklam i innych podobnych „gadżetów”.

Ustalenia i rozwiązania Akamai

Liczba lub podatne na ataki routery wykryte przez Akamai wynoszą około 4, 8 miliona, a eksperci odkryli aktywne zastrzyki NAT na ponad 65 000 urządzeń. Akamai stworzył również listę 400 modeli routerów wykonanych przez 73 dostawców, którzy są obecnie podatni na ataki. Użytkownikom zaleca się wymianę routerów na modele, które nie mają tej luki. Akamai wydało również skrypt Bash, który ma zdolność identyfikowania podatnych na ataki routerów.