Több százezer router van kitéve az UPnP-n keresztüli Eternal Silence támadásoknak

 

Az Akamai kutatói fedeztek fel egy „Eternal Silence” néven nyomon követett hekkerkampányt, amely az Universal Plug and Play (UPnP) segítségével visszaélve a routereket proxy kiszolgálóvá alakítja, amelyeket anonim módon rosszindulatú tevékenységek végrehajtására használnak. Az UPnP egy olyan hálózati protokollkészlet, amely lehetővé teszi a hálózatba kapcsolt eszközök számára, hogy láthatók legyenek egymás számára és funkcionális hálózati szolgáltatásokat hozzanak létre.

2018 áprilisában az Akamai arról számolt be, hogy az UPnP sebezhetőségeit kihasználva 65 000 otthoni routerben tettek kárt. UPnProxy néven követték nyomon a botnetet.

Az említett kommunikációs protokoll széles körben elfogadott, még akkor is, ha köztudottan sebezhető. 2013 elején a Rapid7 kutatói egy jelentésben közzétették, hogy több mint 23 millió, a Portable UPnP SDK-hoz kapcsolódó IP címet érintett a sérülékenység (RCE). Több mint 1900 termékverzió volt sebezhető 1500-nál is több gyártótól. A protokollal visszaélve a támadók hozzáférést szerezhetnek a hálózati forgalom felett és az UPnP lehetővé teszi a portok megnyitásának automatizált konfigurálását NAT hálózati környezetben. Az Akamai által leleplezett rosszindulatú botnet sebezhető eszközökből állt össze.

A szakértők azt javasolják a felhasználóknak, hogy a fenyegetés mérséklése érdekében frissítsék a routerek firmware-ét, mert sok UPnP sebezhetőség még mindig nem javított és 3,5 millió potenciálisan sebezhető routerből 277 ezer még mindig nyitott az UPnProxy számára.

Nemrég az Akamai szakértői egy új családot fedeztek fel, amelyet Eternal Silence-nek neveztek el. A szakértők úgy vélik, hogy a kampány mögött álló fenyegető szereplők az EternalBlue (CVE-2017-0144) és az EternalRed (CVE-2017-7494) exploitokat használták ki a nem javított Windows-, illetve Linux-rendszereken. A támadók kriptóbányász, zsarolóvírus és féregszerű támadásokat hajthatnak végre, amelyek gyorsan elterjedhetnek az egész vállalati hálózatokon.

Az Eternal Silence-szel fertőzött eszközöket a tulajdonosainak resetelni vagy flashelniük kell, mert az UPnP letiltása nem feltétlenül törli a meglévő NAT injekciókat.

(securityaffairs.co)