Botnet operateri i špijunske grupe, zajedno označeni kao stalne složene prijetnje (APT – Advanced persistent threat) zloupotrebljavaju  UPnP protokol (Universal Plug and Play), kojeg koriste svi moderni  kućni usmjerivači, kako bi sakrili promet te svoje stvarne lokacije od sigurnosnih stručnjaka i istražitelja, navodi Nacionalni CERT.

UPnP protokol je dizajniran kako bi olakšao pronalaženje servisa i uređaja te konfiguriranje kućnih uređaja i mreža. Zamišljen je kako bi omogućio uređajima na lokalnoj mreži da izlože svoje servise drugim uređajima na lokalnoj mreži. Jedna od najvažnijih uloga protokola je automatsko pregovaranje i konfiguriranje otvorenih portova i prosljeđivanje portova (port forwarding) unutar mreže koja koristi NAT.

Slabost leži u tome da je na WAN (vanjskom) sučelju moguće koristiti funkcionalnosti namijenjene provjerenim uređajima na lokalnoj mreži. Veliki pružatelj CDN i cloud usluga, Akamai je izdao dokument koji detaljnije opisuje tzv. UPnProxy problem. U izvještaju objavljenom u ponedjeljak, 9. travnja 2018. godine, Akamai otkriva kako je utvrđeno da kriminalci koriste najmanje 65.000 usmjerivača kako bi stvorili posredničke (proxy) mreže koje koriste za cijeli niz različitih  zlonamjernih i tajnih aktivnosti. Krajnji korisnici tih usmjerivača nisu toga svjesni.

Napadači konfiguriraju (uz pomoć SSDP) ranjive usmjerivače tako da im NAT tablica pokazuje na vanjske IP adrese. Na taj način usmjerivači postaju posrednici (proxy). Kriminalci mogu
iskoristiti mrežu takvih usmjerivača za spam/phishing, zaradu na klik-oglašavanju, prikrivanje ilegalnih bankarskih transakcija, DDoS, građenje botneta i distribuciju zlonamjernih programa.

Slabosti UPnP protokola otkrivene su još 2006. godine, dok su 2011. izdani alati za iskorištavanje istih. Kompanija Rapid7 je 2013. otkrila 80 milijuna ranjivih uređaja spojenih na Internet. Akamai dokument dostupan je ovdje.

Dokument sadrži listu ranjivih uređaja (proizvođači i modeli), kao i bash skriptu s kojom onaj tko ima ovlasti (obično ISP) može provjeriti je li određeni usmjerivač ranjiv na UPnProxy.

Podijeli: