Enligt Akamai senaste rapport ser det ut som dåliga aktörer missbrukar mer än 65 000 routrar för att skapa proxy-nätverk för hemliga eller till och med olagliga aktiviteter. Akamai är ett amerikanskt innehållsleveransnätverk och leverantör av molntjänster. Universal Plus- och Play-protokollet missbrukas av botnetoperatörer och cyber-spionagrupper. UPnP kommer med alla moderna routrar till, och de dåliga aktörernas mål är att proxy dålig trafik och dölja verklig plats.

UPnP riktas in i dag

UPnP-protokollet missbrukas av angripare, och detta är en viktig funktion eftersom det gör det lättare att koppla samman lokala enheter med Wi-Fi och vidarebefordra portar och tjänster till webben. Protokollet är viktigt för moderna routrar, men dess osäkerhet bevisades för mer än tio år sedan. Attacker har missbrukat det sedan dess och nu ser det ut som att det finns ett helt nytt sätt att göra detta på. Dåliga aktörer har upptäckt att särskilda routrar exponerar protokollets tjänster som endast är avsedda för upptäckt mellan enheter.

Felens kodnamn är UPnProxy

Attacker har missbrukat dessa routrar för att injicera skadlig programvara i sina tabeller för nätverksadressöversättning. Bristen tillåter angripare att använda routrar med felkonfigurerade UPnP-tjänster som proxytjänster för sina egna hemliga och olagliga operationer. Svagheten är betydande eftersom cyberbrottslingar kan logga in på routrar som avslöjar deras backend på webben.

Hackare kan utnyttja den för att kringgå brandväggar och komma åt IP-adresser för att studsa trafik till andra IP-adresser. Detta kan användas för att maskera de verkliga platserna för phishing-sidor, skräppostkampanjer, reklamklickbedrägeri och mer liknande "godsaker."

Akamais resultat och lösningar

Antalet eller sårbara routrar som Akamai upptäckte är cirka 4, 8 miljoner och experter har upptäckt aktiva NAT-injektioner på mer än 65 000 enheter. Akamai skapade också en lista med 400 routermodeller gjorda av 73 leverantörer som för närvarande är sårbara. Användare rekommenderas att byta ut sina routrar med modeller som inte har sårbarheten. Akamai släppte också ett Bash-skript som har förmågan att identifiera sårbara routrar.