Routers caseros para crear redes proxy para actividades ilegales
En un informe publicado el 9 de abril Akamai anuncio que detectó malos actores que abusan de al menos 65000 routers para crear redes proxy para varios tipos de actividades secretas o ilegales.
Según Akamai, los atacantes están abusando del protocolo UPnP, una función que facilita la interconexión de dispositivos habilitados para WiFi locales y el envío de puertos y servicios a Internet.
UPnP es un servicio crucial para la mayoría de los enrutadores actuales, pero se ha comprobado que el protocolo es inseguro hace más de una década, y los autores de malware han abusado de varios defectos de UPnP desde entonces.
Akamai dice que detectó una nueva forma a través de la cual los malos actores han abusado recientemente de UPnP. Los expertos dicen que los malos actores han descubierto que algunos enrutadores exponen los servicios UPnP destinados a la detección entre dispositivos a través de su interfaz WAN (Internet externo).
Los atacantes aprovechan UPnP para inyecciones NAT
Los hackers han abusado de estos servicios UPnP mal configurados para inyectar rutas maliciosas dentro de las tablas NAT (Traducción de direcciones de red) del enrutador, un conjunto de reglas que controlan cómo las direcciones IP y puertos de la red interna del enrutador se asignan a la red anterior (generalmente Internet).
Estas reglas NAT personalizadas permiten que un atacante se conecte a la IP pública del enrutador en un puerto específico, pero se redirecciona automáticamente a otra combinación IP: puerto.
En otras palabras, esta falla permite a los atacantes usar enrutadores con servicios UPnP mal configurados como servidores proxy para sus operaciones, de ahí la razón por la cual Akamai nombró este problema como UPnProxy.
Los hackers pueden explotar UPnProxy para eludir los firewalls y acceder a las direcciones IP internas
La Falla UPnProxy utilizada para retransmitir el tráfico a las redes internas o usan el router para redirigir la solicitud a una dirección IP o nombre de dominio completamente nuevos.
Falla UPnProxy utilizada para rebotar el tráfico a una IP externa
UPnProxy es una falla grave porque permite a un atacante acceder al panel de inicio de sesión de los enrutadores que generalmente no exponen su backend en Internet. UPnProxy redirigiría una solicitud de [public_IP]: [custom_port] al panel back-end del enrutador alojado en una dirección IP interna y restringida.
Dichos routers, a pesar de tener credenciales débiles, no eran previamente susceptibles a ataques de fuerza bruta debido a que su panel de administración es más difícil (ya veces imposible) de alcanzar por un atacante de Internet. UPnProxy ahora permite a los atacantes llevar a cabo ataques de fuerza bruta contra los paneles de fondo de cualquier dispositivo en una red interna.
UPnProxy es utilizado por una APT o grupo de hackers
Además, dado que se puede abusar de UPnProxy para rebotar tráfico a cualquier otra dirección IP, la falla se puede utilizar para crear una red entrelazada de proxies que redirigen el tráfico a través de decenas o cientos de direcciones IP antes de llegar a un destino final.
Se podría abusar de esta característica para ocultar la ubicación de las campañas de correo no deseado, páginas de phishing, fraude de clics publicitarios y ataques DDoS. Debido a esto, UPnProxy es ideal para los operadores de botnets, la actividad relacionada con el delito cibernético, pero también para el ciberespionaje.
En otro informe, Symantec informó haber visto a un actor respaldado por un estado-nación con el nombre en código "Inception Framework" que utilizaba la técnica UPnProxy para ocultar su ubicación real detrás de una nube de proxies.
APT usa la falla UPnProxy para disfrazar su ubicación
Más de 4.8 millones de routers potencialmente vulnerables
Akamai dice que detectó más de 4.8 millones de routers que exponen varios servicios UPnP a través de la interfaz WAN. De estos, los expertos de Akamai dicen que han identificado inyecciones activas de NAT en más de 65,000 de estos dispositivos, lo que significa que estos enrutadores ya se han visto comprometidos y se están utilizando activamente para redirigir el tráfico sin el consentimiento o conocimiento del propietario del dispositivo.
La identificación de enrutadores vulnerables o comprometidos no es una operación trivial a menos que el propietario del dispositivo pueda encontrar y auditar las tablas NAT del enrutador, una tarea que está fuera del alcance de casi el 99.99% de todos los propietarios de enrutadores SOHO.
Para ayudar a los usuarios, Akamai ha compilado una lista de 400 modelos de enrutadores de 73 proveedores que identificaron como la exposición de servicios UPnP a través de la interfaz WAN, y que sospechan que pueden ser vulnerables a los ataques UPnProxy.
Mitigar los ataques de UPnProxy requeriría un esfuerzo masivo de todos los proveedores afectados. Esto implicaría liberar actualizaciones de firmware que corrijan las configuraciones UPnP para dejar de exponer los servicios UPnP a través de las interfaces WAN.
Mientras tanto, el único consejo que Akamai pudo brindar fue que los usuarios reemplazan los modelos de routers existentes por uno que no se encuentra en su lista.
Además, la compañía también proporcionó un script Bash que puede identificar enrutadores vulnerables o explotados activamente, aunque este script no será útil a menos que los usuarios sepan cómo conectarse al terminal de su router a través de SSH, ejecutar e interpretar los resultados de un script Bash.