UPnProxy攻击：400款家用路由机型受影响，逾6万台设备已遭僵尸网络滥用

来源：互联网安全内参

编辑：cocoa/神MA研究所 ：ShenMaLab

僵尸网络操纵者和网络间谍组织 (APT) 被指正在滥用所有现代路由器中使用的通用即插即用 (UPnP) 协议来代理恶意流量并规避调查人员查看真实地理位置信息。

本周一，Akamai 发布报告称已检测到恶意人员滥用至少6.5万台路由器创建代理网络实施多种机密或非法活动。

恶意人员正在滥用 UPnP 协议

Akamai 在报告中指出，攻击者正在滥用 UPnP 协议。该协议旨在让本地启用无线设备之间的互连更加容易，以及更加轻松地将端口和服务转到互联网上。

虽然 UPnP 对于目前的多数路由器而言是一种关键服务，但在十多年前它已被证实并不安全，而且自此以后恶意作者们已经滥用了多种 UPnP 缺陷。

Akamai 表示已经检测到恶意人员滥用 UPnP 的一种新方法。安全专家们指出，恶意人员发现某些路由器通过 WAN（外部互联网）接口暴露了旨在为跨设备发现的 UPnP 服务。

攻击者利用 UPnP 注入 NAT

黑客一直都在用这些配置错误的 UPnP 服务将恶意路由注入到路由器的 NAT （网络地址转换）表中。NAT 表即控制内部网络的 IP 和端口如何映射到上面的网络（通常是互联网）的一系列规则。

这些自定义 NAT 规则虽然使得攻击者能够连接到路由器某个端口的公开 IP 地址，但被自动重定向到另外一个 IP:port 组合。

换句话说，这个缺陷使得攻击者将配置错误的 UPnP 服务的路由器用作实施操作的代理服务器，这也是 Akamai 将该漏洞问题命名为 “UPnProxy” 的原因。

黑客能够利用 UPnProxy 绕过防火墙并访问内部IP 地址。

或者使用路由器将请求重定向至一个全新的 IP 地址或域名。

UPnProxy 是一个严重的漏洞，因为它导致攻击者能够访问通常会将后端暴露到互联网上的路由器登录面板。UPnProxy 将把对 [public_IP]:[custom_port] 的请求重定向至托管于内部且不受限制的 IP 地址的路由器的后端面板上。

这类路由器虽然具有弱凭证，但由于它们的管理员面板更难以（有时候根本不可能）由互联网攻击者接触，因此此前并不容易遭暴力攻击。UPnProxy 目前可导致攻击者针对内部网络中任何设备的后端面板发动暴力攻击。

UPnProxy 至少遭一个 APT 滥用

另外，由于 UPnProxy 可遭滥用，将流量路由到其它任何 IP 地址，因此这个漏洞能用于创建复杂的代理网络，在流量到达最终目的地之前将其重定向至数十个或数百个 IP 地址。

这类功能可滥用于掩藏垃圾邮件活动、钓鱼页面、广告点击欺诈和 DDoS 攻击的地理位置。因此，UPnProxy 不仅是僵尸网络操纵者和网络犯罪人员也是网络间谍组织的理想之选。

赛门铁克还发布过报道称，检测到国家黑客组织 “Inception Framwork” 利用这种 UPnProxy 技术将自己的真实位置信息隐藏在代理云中。

超过480万台路由器易受攻击

Akamai 公司指出，检测到480多万台路由器经由 WAN 接口暴露了多种 UPnP 服务。其中从6.5万台设备中发现了活跃的 NAT 注入，也就是说这些路由器已遭攻陷，而且在未经设备所有人同意或知情的情况下被用于重定向流量。

找到受攻陷或易受攻击的路由器并非易事，除非设备所有人能够找到并审计路由器的 NAT 表，而这一任务对于几乎99.99%的 SOHO 路由所有人而言是不可能完成的。

为此，Akamai 已编译了来自73家供应商的400款路由器机型，这些机型均被指经由 WAN 界面暴露 UPnP 服务，而且可能易受 UPnProxy 攻击。

要缓解 UPnProxy 攻击，所有受影响的供应商需要付出大量努力，也就是说必须发布固件更新修正 UPnP 配置以阻止 UPnP 服务经由 WAN 接口被暴露。同时，Akamai 给出的唯一建议是用不在清单上的路由器机型替换现有的路由器机型。

另外，Akamai 还提供了一个 Bash 脚本用于识别易受攻击或遭活跃利用的路由器，尽管该脚本只有在用户在知道如何通过 SSH 连接到自己的路由器终端、运行并解释 Bash 脚本的结果的前提下才起作用。受影响，逾6万台设备已遭僵尸网络滥用。

……………………END…………………

关注「神MA研究所」，带你深入网络安全、探索前沿科技、追逐潮流动态、挖掘爆款单品。 我们是全网真正关注个人信息安全、爆料网络秘闻的研究猿。