03/02/22
Киберпреступники в ходе вредоносной кампании под названием Eternal Silence используют набор сетевых протоколов Universal Plug and Play (UPnP), превращая маршрутизаторы в прокси-серверы для запуска вредоносных атак.
UPnP — протокол подключения, опционально доступный в большинстве современных маршрутизаторов, который позволяет другим устройствам в сети автоматически создавать правила переадресации портов на маршрутизаторе. Это позволяет удаленным устройствам получать доступ к определенной программной функции или устройству по мере необходимости с небольшой настройкой, требуемой пользователем.
Реализация UPnP потенциально уязвима к атакам, позволяющим удаленным хакерам добавлять записи переадресации портов UPnP через открытое WAN-соединение устройства.
Исследователи из компании Akamai обнаружили киберпреступников, использующих данную уязвимость для создания прокси-серверов, скрывающих свои вредоносные операции. Атака получила название UPnProxy.
Как предполагают эксперты, злоумышленники эксплуатируют уязвимости EternalBlue (CVE-2017-0144) и EternalRed ( CVE-2017-7494 ) на системах под управлением Windows и Linux соответственно. Использование этих проблем позволяет устанавливать криптомайнеры, осуществлять червеподобные атаки, которые быстро распространяются на целые корпоративные сети, или устанавливать первоначальный доступ к корпоративным сетям.
Из 3,5 млн UPnP-маршрутизаторов, обнаруженных специалистами в Сети, 277 тыс. уязвимы к атакам UPnProxy, а 45113 из них уже скомпрометированы хакерами.
Лучший способ определить скомпрометированное устройство — просканировать все оконечные точки и проверить записи в таблице NAT. Эксперты предоставили bash-скрипт, который можно запустить для потенциально уязвимого URL-адреса. Отключение UPnP не очистит внедренные команды хакеров. Вместо этого пользователям потребуется перезагрузить или переустановить прошивку устройства.
