Pesquisadores descobriram evidências de que o comprometimento do roteador UPnProxy descoberto anteriormente em 2018 agora está sendo usado para atacar computadores em redes conectadas aos mesmos gateways.

Para recapitular, UPnProxy é o nome que a Akamai deu a um ataque contra uma ampla gama de roteadores executando implementações vulneráveis ​​de Plug and Play Universal (UPnP). Estima-se que o ataque tenha infectado 65.000 roteadores de uma possível lista de 3,5 milhões.

O UPnP tem sido um alvo para criminosos cibernéticos, com o UPnProxy explorando sua potência defeituosa para transformar roteadores em servidores proxy como uma maneira de esconder phishing, DDoS, spam e clicar em tráfego fraudulento atrás de endereços IP legítimos.

A pesquisa mais recente da Akamai, feita no início de novembro, sugere que os invasores por trás do UPnProxy tiveram um momento em que uma lâmpada acendeu em suas cabeças – por que não usar o mapeamento de porta do UPnP para ir atrás de computadores vulneráveis ​​no lado da LAN do roteador?

O UPnProxy evoluiu para isso usando as famosas explorações EternalBlue (CVE-2017-0144) e EternalRed (CVE-2017-7494) para máquinas de destino executando clientes Windows SMB e Linux Samba nas portas 145 e 449.

EternalSilence

Copiando o novo ataque “EternalSilence”, a empresa detectou sinais dessa injeção de mapeamento de portas em pelo menos 45.000 roteadores de uma população de 277.000 ainda vulneráveis ​​a UPnProxy.

No entanto, depois de totalizar o número de IPs conectados a esses roteadores, a Akamai estima que o número de computadores expostos poderia chegar a 1,7 milhão.

A contagem final de vítimas dependeria de quantos desses computadores eram vulneráveis ​​às explorações.

Em teoria, a maioria dos computadores deveria ter sido corrigida, mas os de menor prioridade nas empresas podem não ter sido – no pressuposto de que eles não foram expostos à Internet por causa da Network Address Translation (NAT) do roteador.

Escreve o Chade Seaman da Akamai:

Os ataques de EternalSilence removem totalmente esta proteção implícita concedida pelo NAT da equação, possivelmente expondo todo um novo conjunto de vítimas às mesmas façanhas antigas.

Vale lembrar que o EternalBlue (roubado da NSA) foi usado pela primeira vez com efeitos devastadores durante os ataques WannaCry e NotPetya de 2017, portanto, essas ameaças não são comuns.

Quem pode ser afetado?

A pesquisa UPnProxy da Akamai estimou o número de modelos de roteadores que executam o UPnP vulnerável em 400 de 73 empresas diferentes. Dito isso, o número real de roteadores infectados ainda era relativamente pequeno.

A probabilidade de ser vítima do UPnProxy e / ou EternalSilence depende dos seguintes fatores:

  • O UPnP está habilitado no roteador (inclusive no último ano)?
  • Recebeu atualizações regulares de firmware desde que foi comprado?
  • Os computadores Windows que se conectam através deste roteador foram corrigidos para o EternalBlue em 2017? (ou EternalRed do Linux?)

Então o que você deveria fazer? O primeiro passo é desligar o UPnP antes de atualizar para a versão mais recente do firmware (ou comprar um novo roteador) e certificar-se de que os patches do Windows ou Linux que endereçam o EternalBlue / EternalRed foram aplicados.

Se um roteador é suspeito de estar infectado (e isso é muito difícil para um não especialista), fica mais complicado porque simplesmente desativar o UPnP não desmarca as injeções de NAT existentes.

Nesses casos, a Akamai recomenda redefinir o roteador para o estado de fábrica e iniciar uma atualização para a versão mais recente do firmware.

Verificar computadores comprometidos pelo EternalSilence é mais complicado:

Os administradores que buscam obter vantagens podem verificar a si mesmos e ver se estão expostos a essas vulnerabilidades, incluindo a verificação da tabela UPnP NAT para procurar esquisitices.

Com informações do blog Naked Security, da Sophos.