Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Новости проекта

Отраслевые новости

Угрозы

Преступления

Наказания

Партнеры


Журнал "Information Security"

Каталог "IT-Security"

Рекламодателям

Сотрудничество


Материалы

Форум

ITSec Weekly

Календарь

Публикации

Подписка

Контакты

Ссылки

Партнеры

Мероприятия

 
    Более 65 000 роутеров проксируют трафик ботнетов и преступных групп

Более 65 000 роутеров проксируют трафик ботнетов и преступных групп


12.04.2018

Более 65 000 роутеров проксируют трафик ботнетов и преступных групп

Специалисты компании Akamai обнародовали отчет ( PDF), в котором сообщили, что операторы ботнетов и кибершпионские группировки активно используют роутеры и протокол Universal Plug and Play (UPnP) для проксирования вредоносного трафика. Таким образом преступники скрываются от внимания экспертов и правоохранительных органов, "путая следы". Эксперты пишут, что так уже используются более 65 000 устройства, а еще более 4,8 млн потенциально уязвимы. Подобную вредоносную активность аналитики назвали UPnProxy.

Хотя небезопасность протокола UPnP была доказана довольно давно, он по-прежнему широко применяется для универсальной автоматической настройки сетевых устройств как локально, так и удаленно. Исследователи объясняют, что злоумышленники находят роутеры с уязвимыми и неправильно настроенными службами UPnP, так как зачастую маршрутизаторы доступны через WAN-интерфейс, а значит, из интернета. Чаще всего речь идет о "слабых" паролях и использовании брутфорса.

Через UPnP злоумышленники модифицируют таблицы NAT (Network Address Translation) и создают кастомые правила, позволяющие обращаться к публичному IP-адресу роутера по определенному порту, чтобы затем произошла автоматическая переадресация на другой IP-адрес и порт.

Это позволяет использовать скомпрометированные устройства как в роли прокси-серверов, так и обойти файрвол, добравшись до локальных устройств, расположенных за роутером. Кроме того, с помощью UPnProxy атакующие могут получить доступ к панели управления маршрутизатором, которая в нормальных обстоятельствах не должна быть доступна. Однако комбинация порта и IP-адреса, как на скриншоте выше, позволяет злоумышленникам обратиться к "запретному" внутреннему IP.

Специалисты Akamai предупреждают, что различные UPnP-службы доступны через WAN более чем на 4,8 млн устройств. По данным компании, компрометации с помощью UPnProxy подверглись как минимум 65 000 роутеров, однако обнаруживать такие устройства крайне сложно: нужно изучать таблицы NAT и почти в каждом случае связываться с владельцем девайса.

Также исследователи Akamai цитируют своих коллег из Symantec, недавно обнаруживших вредоносную кампанию Inception Framework. По мнению экспертов, технику UPnProxy уже использует APT-группировка, ответственная за эту кампанию, и возможно, это правительственные хакеры

В конце своего отчета специалисты Akamai приводят длинный список потенциально уязвимых перед данным вектором атак производителей и конкретных моделей маршрутизаторов. В него вошли 73 вендора и более 400 устройств. При этом исследователи предупреждают, что в теории для устранения проблемы понадобятся немалые усилия со стороны производителей, которым придется разработать и выпустить прошивки, изменяющие настройки UPnP, чтобы уязвимые службы не обнаруживались через WAN. А в настоящее время эксперты Akamai советуют пользователям, нашедшим среди потенциально проблемных моделей свои устройства, сменить роутер на другую модель, которой нет в списке.

Для проверки роутеров был создан специальный bash-скрипт. К сожалению, он будет практически бесполезен для рядовых пользователей, которые вряд ли умеют подключаться к своим устройствам посредством SSH и запускать такие скрипты.

Хакер


Добавить комментарий

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

СВЕЖИЙ НОМЕР
ПОДПИСКА НА НОВОСТИ

 

 

 

 

Рейтинг@Mail.ru

Яндекс цитирования

Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Бесплатная подписка | Форум | Контакты | Ссылки | О чем этот сайт

Copyright © 2003-2013, ООО "Гротек"
Использование материалов сайта возможно при указании активной гиперссылки на главную страницу этого сайта. Ссылка должна выглядеть так: Itsec.Ru.