image

Tienduizenden thuisrouters via UPnP-lek gebruikt als proxy

donderdag 12 april 2018, 14:29 door Redactie, 5 reacties

Criminelen maken gebruik van een UPnP-lek in allerlei populaire thuisrouters om de apparaten tot proxies te veranderen. Wereldwijd zouden op deze manier tienduizenden routers onderdeel van een "proxy-botnet" zijn gemaakt, zo laat internetgigant Akamai in een nieuw rapport weten (pdf).

Universal Plug and Play (UPnP) is een veelgebruikt protocol dat het eenvoudiger voor apparaten in een netwerk moet maken om met het internet of andere apparaten op het netwerk te communiceren. De kwetsbaarheid wordt veroorzaakt doordat de routers bepaalde diensten via hun WAN-interface voor het internet beschikbaar stellen, terwijl deze diensten eigenlijk alleen voor de apparaten op het LAN toegankelijk zouden moeten zijn.

Via deze blootgestelde diensten kan een aanvaller NAT-vermeldingen aan de router toevoegen en in sommige gevallen machines achter de router benaderen. In andere gevallen kan een aanvaller "Internet-routable hosts" aan de NAT-tabel toevoegen, waardoor de router als een proxy-server fungeert. Een aanvaller kan vervolgens zijn internetactiviteiten via de proxy-server laten lopen. De proxies kunnen voor allerlei doeleinden worden gebruikt, zoals spam, ddos-aanvallen en creditcardfraude, maar ook het omzeilen van censuur.

Tijdens een scan op internet vond Akamai 765.000 routers die kwetsbaar zijn. Bij 65.000 routers hadden er ook NAT-injecties plaatsgevonden. De meeste injecties richten zich op tcp-poorten 53 (dns), 80 (http) en 443 (https). In het rapport heeft Akamai een overzicht van kwetsbare routers gegeven, alsmede een uitleg zodat gebruikers kunnen controleren of ze getroffen zijn. Het gaat om bijna 400 routermodellen van 73 fabrikanten.

"De UPnProxy-kwetsbaarheid, zoals zoveel problemen die we recent hebben gezien, wordt veroorzaakt door ongeauthenticeerde diensten die blootgesteld zijn aan het internet op manieren die nooit de bedoeling waren. Aanvallers hebben verschillende aspecten van bekende UPnP-problemen genomen en gecombineerd om een krachtig proxy-netwerk te maken om hun verkeer te verbergen", aldus de onderzoekers. Ze merken op dat gebruikers verschillende opties hebben, zoals het uitschakelen van UPnP, het dichtzetten van udp-poort 1900 voor inkomend verkeer en als laatste het vervangen van de router.

Reacties (5)
12-04-2018, 15:08 door Anoniem
Ze merken op dat gebruikers verschillende opties hebben, zoals het uitschakelen van UPnP, het dichtzetten van udp-poort 1900 voor inkomend verkeer en als laatste het vervangen van de router.
Dat is ook het eerste wat ik gedaan heb toen ik de nieuwe router binnenkreeg: UPnP direct uitschakelen.
12-04-2018, 16:18 door Anoniem
Potverdikkie al meer dan 5 jaar geleden hier al voor gewaarschuwd https://www.security.nl/posting/39877/
en in andere community-berichten hier ook herhaaldelijk vertelt dat je voor de veiligheid PnP uit moet zetten.
12-04-2018, 20:49 door Anoniem
Door Anoniem: Potverdikkie al meer dan 5 jaar geleden hier al voor gewaarschuwd.
Tijd voor verantwoordelijkheid voor beveiliging ook bij de fabrikant te leggen. Nu kunnen ze nog zoveel troep verkopen als ze willen zolang er geen gevaar voor milieu of volksgezondheid is.
13-04-2018, 11:50 door Anoniem
Goh, upnp onveilig?
Dat roept iedereen toch al 100 jaar...

Misschien tijd dat mensen ontdekken dat NAT ook geen firewall is, IPv6 uitrollen, IPv4 uitfaseren en gewoon je firewall knap beheren aub!
17-04-2018, 12:09 door Anoniem
Door Anoniem: Goh, upnp onveilig?
Dat roept iedereen toch al 100 jaar...

Misschien tijd dat mensen ontdekken dat NAT ook geen firewall is, IPv6 uitrollen, IPv4 uitfaseren en gewoon je firewall knap beheren aub!
Ik zie oma nog niet de IPv6 firewall op haar modem knap beheren...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.