هکرها با استفاده از نوع جدید UPnProxy، سرویسهای UPnP را به کار بردهاند تا قوانین ویژهای به جدولهای NAT مسیریابها اضافه کنند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، پژوهشگران Akamai یک بدافزار پیشرفته را شناسایی کردهاند که میتواند پیکربندیهای مسیریابهای خانگی و دفاتر کوچک را ویرایش کند تا اتصالاتی را به شبکههای داخلی باز و رایانههای شبکه را آلوده کند.
هکرها از تکنیکی با نام UPnProxy استفاده کردهاند که مبتنی بر سوءاستفاده از آسیبپذیریهای موجود در سرویسهای UPnP است و روی برخی مسیریابها نصب شدهاند تا جدولهای NAT دستگاه را ویرایش کنند.
در ماه آوریل، هکرها از این تکنیک برای تبدیل مسیریابها به پراکسیهایی برای ترافیک عادی وب استفاده کردند؛ اما در گزارشی که Akamai منتشر کرد، نوع جدیدی از UPnProxy شناسایی شدهاست که هکرها توسط آن سرویسهای UPnP را به کار بردهاند تا قوانین ویژهای به جدولهای NAT مسیریابها اضافه کنند. این قوانین همچنان به عنوان پراکسی کار میکنند، اما به هکرها اجازه میدهند تا به پورتهای SMB (139 و 445) دستگاهها و رایانههای موجود در شبکه داخلی آن متصل شوند.
کارشناسان Akamai اعلام کردهاند که هماکنون ۳,۵ میلیون دستگاه آسیبپذیر وجود دارند که حدود ۲۷۷هزار مسیریاب دارای سرویسهای UPnP آسیبپذیر هستند. اسکنهای Akamai نشان میدهد که به حداقل ۴۵ هزار مسیریاب نفوذ شدهاست. نفوذ به این مسیریابها در مجموع ۱.۷ میلیون سیستم منحصربهفرد را در معرض خطر قرار میدهد.
پژوهشگران مشاهده کردهاند که هکرها یک ورودی NAT با نام galleta silenciosa (به معنی silent cookie/cracker در زبان اسپانیایی) در این ۴۵ هزار مسیریاب ایجاد کردهاند.
به نظر میرسد که مهاجمان از آسیبپذیریهای (EternalBlue (CVE-2017-014 که از آژانس امنیت ملی امریکا (NSA) به سرقت رفته و (EternalRed (CVE-2017-7494 که نسخهای از EternalBlue است و از طریق Samba سیستمهای لینوکسی را آلوده میکند، استفاده کردهاند. Akamai این عملیات سایبری را EternalSilence نامگذاری کردهاست.
Akamai توصیه کردهاست برای بازیابی و جلوگیری از این حملات، صاحبان دستگاهها میتوانند مسیریاب جدیدی تهیه کنند که دارای آسیبپذیری UPnP نباشند یا در صورت آسیبپذیر بودن UPnP در دستگاه خود، آن را غیرفعال کنند.
غیرفعال کردن UPnP ورودیهای تزریق شده به NAT را پاک نمیکند، درنتیجه صاحبان مسیریابها باید آن را راهاندازی مجدد کنند یا به تنظیمات کارخانه بازگردانند و سپس UPnP را بهطور کامل غیرفعال کنند. همچنین بهروزرسانی به آخرین نسخه Firmware نیز توصیه میشود.
احتمال آلوده شدن سیستمهای متصل به مسیریابهای آسیبپذیر نیز وجود دارد و باید ترافیک غیرمجاز در LAN سیستمهای لینوکسی و ویندوزی که احتمالا با EternalBlue یا EternalRed آلوده شدهاند، بررسی شود.