Volgens het laatste rapport van Akamai lijkt het erop dat slechte acteurs meer dan 65.000 routers misbruiken om proxy-netwerken te creëren voor geheime of zelfs illegale activiteiten. Akamai is een Amerikaans netwerk voor contentlevering en cloudserviceprovider. Het Universal Plus- en Play-protocol wordt misbruikt door botnetoperators en cyberspionagegroepen. UPnP wordt geleverd met alle moderne routers en het doel van de slechte actoren is om slecht verkeer te proxyen en de echte locatie te verbergen.

UPnP is tegenwoordig gericht

Het UPnP-protocol wordt misbruikt door aanvallers, en dit is een essentiële functie omdat het het eenvoudiger maakt om lokale apparaten met Wi-Fi te verbinden en poorten en services naar het web door te sturen. Het protocol is van vitaal belang voor moderne routers, maar de onveiligheid is meer dan tien jaar geleden bewezen. Aanvallers hebben het sindsdien misbruikt, en nu lijkt het erop dat er een geheel nieuwe manier is waarop ze dit doen. Slechte acteurs hebben ontdekt dat bepaalde routers de services van het protocol blootleggen die alleen bedoeld zijn voor de detectie van apparaten tussen apparaten.

De codenaam van de fout is UPnProxy

Aanvallers hebben deze routers misbruikt om malware in hun Network Address Translation-tabellen te injecteren. Door de fout kunnen aanvallers routers gebruiken met verkeerd geconfigureerde UPnP-services als proxy-services voor hun eigen geheime en illegale activiteiten. De zwakte is aanzienlijk omdat cybercriminelen kunnen inloggen op routers die hun backend op het web blootleggen.

Hackers kunnen het gebruiken om firewalls te omzeilen en toegang te krijgen tot IP-adressen om verkeer naar andere IP-adressen te sturen. Dit kan worden gebruikt om de echte locaties van phishingpagina's, spamcampagnes, advertentiefraude en meer vergelijkbare 'goodies' te maskeren.

Akamai's bevindingen en oplossingen

Het aantal of kwetsbare routers dat Akamai heeft gedetecteerd, is ongeveer 4, 8 miljoen en experts hebben actieve NAT-injecties op meer dan 65.000 apparaten ontdekt. Akamai heeft ook een lijst met 400 routermodellen gemaakt door 73 leveranciers die momenteel kwetsbaar zijn. Gebruikers wordt geadviseerd om hun routers te vervangen door modellen die niet de kwetsbaarheid hebben. Akamai heeft ook een Bash-script uitgebracht dat kwetsbare routers kan identificeren.