Investigadores de la firma Akamai han descubierto una botnet (definición de Botnet en Wikipedia) proxy compuesta por la friolera de 65000 routers expuestos a internet mediante el protocolo uPNP, que muchos de los enrutadores de consumo traen habilitado por defecto.

Los ciberdelincuentes han comprometido los dispositivos mencionados que componen esta gigantesca red proxy, diseñada con diferentes propósitos en mente, pero ninguno bueno: envío de spam, phishing masivo, fraudes con anuncios y robo de cuentas o tarjetas de crédito son algunos de los objetivos para los que se usa, sin olvidar los ataques de denegación de servicio masiva o DDoS.

UPnProxy: 65000 routers infectados formando una gran botnet

Mientras realizaban escaneos de seguridad rutinarios sobre este tipo de dispositivos, los investigadores de Akamai descubrieron dispositivos vulnerables con inyecciones NAT que los hacían vulnerables para ser abusados por terceras partes. Del informe publicado se puede extraer lo siguiente:

Mientras investigábamos algunos dispositivos con uPnP habilitado que habían realizado ataques contra clientes de Akamai, descubrimos que algunos de ellos eran más susceptibles a este tipo de ataque que otros, y que contenían inyecciones de NAT maliciosas. […] Estas inyecciones estaban presentes en buen número de dispositivos de todo el mundo y parecían formar parte de una campaña de ataques masiva y organizada.

Akamai descubrió más de 4,8 millones de dispositivos vulnerables a solicitudes SSDP mediante UDP. De estos, unos 765000 eran además vulnerables a implementaciones mediante TCP. Del total, aproximadamente unos 65000 (1,3%) tenían inyecciones de NAT realizadas con éxito.

El protocolo uPnP es inseguro

Acerca del protocolo uPnP

Universal Plug and Play o uPnP se refiere a un conjunto de protocolos de comunicación que posibilitan que los dispositivos de red, ya sean ordenadores, impresoras, aparatos WiFi o móviles (entre otros) descubrir a otros dispositivos de la red y establecer comunicación sin precisar de configuración adicional. Permite la negociación y configuración automática para apertura y reenvío de puertos en entornos de redes que emplean NAT.

Es un protocolo muy conveniente en cuanto a que ahorra esfuerzo para comunicar por ejemplo redes privadas con redes WAN para comunicar unos dispositivos con otros, pero no está diseñado con la seguridad en mente y es fácilmente vulnerable.

El protocolo de comunicación uPnP está ampliamente utilizado incluso a pesar de haberse demostrado ya hace muchos años su falta de seguridad. Ya en 2013, invetigadores de Rapid7 publicaron un informe titulado “Fallos de seguridad en Universal Plug and Play” que describe perfectamente los peligros que acarrea su uso.

Destapan una botnet con 65000 routers con el protocolo uPnP vulnerado

Estas inyecciones parecían apuntar, en el caso que nos ocupa, a diferentes servicios y servidores en todo internet. La mayoría de las inyecciones se hacían contra el puerto TCP 53 (resolución DNS) con 15900 casos detectados. También se ha abusado ampliamente de los puertos 80 (HTTP) con 9500 dispositivos comprometidos y del protocolo HTTPS, con 15500 casos.

En la mayoría de casos se han atacado dispositivos de red de consumo, con unas 73 marcas y cerca de 400 modelos afectados.

¿Cómo se produce el ataque?

La información necesaria para explotar esta vulnerabilidad será revelada inicialmente en la “prueba de respuesta” SSDP. Mediante el uso del encabezado “Ubicación” el atacante podrá obtener detalles necesarios para establecer una conexión con el demonio UPnP mediante TCP.

Los detalles revelados al atacante incluirán el puerto donde escucha este “demonio” y también la ruta local que listará los servicios ofrecidos por el mismo. Modificando la URL obtenida para usar la dirección IP pública en lugar de la IP privada, el atacante será capaz de comunicarse con el demonio UPnP.

El protocolo uPnP es inseguro

A partir de ahí, mediante un XML generado por el propio dispositivo el atacante podrá conocer todos los servicios ofrecidos por el router. Para no hacer muy largo este artículo, te recomiendo que visites el informe publicado por Akamai para consultar todos los detalles.

El informe también habla de 23 millones de direcciones IP relacionadas con el Portable UPnP SDK como vulnerables a ejecución remota de código mediante el uso de un simple paquete UDP. Por otro lado se habla además de unos 6900 productos de más de 1500 marcas que son vulnerables a un ataque contra el SOAP uPnP.

La botnet (red de bots) descubierta por Akamai se compone de de los routers vulnerables y los convierte en proxys, motivo por el cual han dado en llamarlos UPnProxy. En cuanto a sus dimensiones, tenemos que la IP más identificada fue inyectada 18,8 millones de veces en 23286 dispositivos diferentes, mientras que la segunda apareció más de 11 millones de veces en cerca de 60000 dispositivos.

Parte de esta gran botnet compuesta por routers con UPnP ya fue descubierta por Symantec recientemente cuando estaban investigando algunos usos del Kit de Exploit Inception, utilizado ampliamente hoy en día, con estos dispositivos haciendo las veces de proxy para camuflar las ubicaciones reales de estos ciber-atacantes.

Fuente: Protegermipc.net

Compartir