Segons l’últim informe d’Akamai, sembla que els actors dolents abusen de més de 65.000 encaminadors per crear xarxes de proxy per a activitats secretes o fins i tot il·legals. Akamai és un proveïdor nord-americà de lliurament de contingut i servei de núvol. Els operadors de botnet i grups de ciber-espionatge abusen del protocol Universal Plus i Play. UPnP arriba amb tots els encaminadors moderns, i l'objectiu dels actors dolents és proporcionar un trànsit indegut i ocultar la ubicació real.

UPnP està dirigit aquests dies

Els atacants abusen del protocol UPnP, i aquesta és una característica essencial perquè facilita la interconnexió de dispositius locals amb Wi-Fi i ports i serveis de transmissió a la web. El protocol és vital per als encaminadors moderns, però la seva inseguretat va ser provada fa més de deu anys. Els atacants han estat abusant des de llavors, i ara sembla que hi ha una manera totalment nova de fer això. Els actors dolents han descobert que determinats enrutadors exposen els serveis del protocol que només estan destinats a la descoberta entre dispositius.

El nom de codi del defecte és UPnProxy

Els atacants han abusat d’aquests routers per injectar programari maliciós a les seves taules de traducció d’adreces de xarxa. El defecte permet als atacants utilitzar enrutadors amb serveis UPnP no configurats malament com a serveis de proxy per a les seves operacions secretes i il·legals. La debilitat és important perquè els ciberdelinqüents poden iniciar-se en routers que exposen el seu backend al web.

Els pirates informàtics poden explotar-lo per deixar passar els tallafocs i accedir a les adreces IP per rebotar el trànsit a altres adreces IP. Es pot utilitzar per emmascarar les ubicacions reals de les pàgines de pesca, campanyes de correu brossa, fraus de clics publicitaris i altres "bones" similars.

Resultats i solucions d’Akamai

El nombre o encaminadors vulnerables que va detectar Akamai és d’uns 4, 8 milions i els experts han descobert injeccions de NAT actives en més de 65.000 dispositius. Akamai també va crear una llista de 400 models d’encaminadors realitzats per 73 proveïdors actualment en situació de vulnerabilitat. Es recomana als usuaris que substitueixin els seus routers per models que no tinguin la vulnerabilitat. Akamai també va publicar un script Bash que té la capacitat d’identificar els encaminadors vulnerables.