Criminelen maken gebruik van een UPnP-lek in allerlei populaire thuisrouters om de apparaten tot proxies te veranderen. Wereldwijd zouden op deze manier tienduizenden routers onderdeel van een "proxy-botnet" zijn gemaakt, zo laat internetgigant Akamai in een nieuw rapport weten (pdf).
Universal Plug and Play (UPnP) is een veelgebruikt protocol dat het eenvoudiger voor apparaten in een netwerk moet maken om met het internet of andere apparaten op het netwerk te communiceren. De kwetsbaarheid wordt veroorzaakt doordat de routers bepaalde diensten via hun WAN-interface voor het internet beschikbaar stellen, terwijl deze diensten eigenlijk alleen voor de apparaten op het LAN toegankelijk zouden moeten zijn.
Via deze blootgestelde diensten kan een aanvaller NAT-vermeldingen aan de router toevoegen en in sommige gevallen machines achter de router benaderen. In andere gevallen kan een aanvaller "Internet-routable hosts" aan de NAT-tabel toevoegen, waardoor de router als een proxy-server fungeert. Een aanvaller kan vervolgens zijn internetactiviteiten via de proxy-server laten lopen. De proxies kunnen voor allerlei doeleinden worden gebruikt, zoals spam, ddos-aanvallen en creditcardfraude, maar ook het omzeilen van censuur.
Tijdens een scan op internet vond Akamai 765.000 routers die kwetsbaar zijn. Bij 65.000 routers hadden er ook NAT-injecties plaatsgevonden. De meeste injecties richten zich op tcp-poorten 53 (dns), 80 (http) en 443 (https). In het rapport heeft Akamai een overzicht van kwetsbare routers gegeven, alsmede een uitleg zodat gebruikers kunnen controleren of ze getroffen zijn. Het gaat om bijna 400 routermodellen van 73 fabrikanten.
"De UPnProxy-kwetsbaarheid, zoals zoveel problemen die we recent hebben gezien, wordt veroorzaakt door ongeauthenticeerde diensten die blootgesteld zijn aan het internet op manieren die nooit de bedoeling waren. Aanvallers hebben verschillende aspecten van bekende UPnP-problemen genomen en gecombineerd om een krachtig proxy-netwerk te maken om hun verkeer te verbergen", aldus de onderzoekers. Ze merken op dat gebruikers verschillende opties hebben, zoals het uitschakelen van UPnP, het dichtzetten van udp-poort 1900 voor inkomend verkeer en als laatste het vervangen van de router.
Deze posting is gelocked. Reageren is niet meer mogelijk.