Tienduizenden thuisrouters via UPnP-lek gebruikt als proxy
Criminelen maken gebruik van een UPnP-lek in allerlei populaire thuisrouters om de apparaten tot proxies te veranderen. Wereldwijd zouden op deze manier tienduizenden routers onderdeel van een "proxy-botnet" zijn gemaakt, zo laat internetgigant Akamai in een nieuw rapport weten (pdf).
Universal Plug and Play (UPnP) is een veelgebruikt protocol dat het eenvoudiger voor apparaten in een netwerk moet maken om met het internet of andere apparaten op het netwerk te communiceren. De kwetsbaarheid wordt veroorzaakt doordat de routers bepaalde diensten via hun WAN-interface voor het internet beschikbaar stellen, terwijl deze diensten eigenlijk alleen voor de apparaten op het LAN toegankelijk zouden moeten zijn.
Via deze blootgestelde diensten kan een aanvaller NAT-vermeldingen aan de router toevoegen en in sommige gevallen machines achter de router benaderen. In andere gevallen kan een aanvaller "Internet-routable hosts" aan de NAT-tabel toevoegen, waardoor de router als een proxy-server fungeert. Een aanvaller kan vervolgens zijn internetactiviteiten via de proxy-server laten lopen. De proxies kunnen voor allerlei doeleinden worden gebruikt, zoals spam, ddos-aanvallen en creditcardfraude, maar ook het omzeilen van censuur.
Tijdens een scan op internet vond Akamai 765.000 routers die kwetsbaar zijn. Bij 65.000 routers hadden er ook NAT-injecties plaatsgevonden. De meeste injecties richten zich op tcp-poorten 53 (dns), 80 (http) en 443 (https). In het rapport heeft Akamai een overzicht van kwetsbare routers gegeven, alsmede een uitleg zodat gebruikers kunnen controleren of ze getroffen zijn. Het gaat om bijna 400 routermodellen van 73 fabrikanten.
"De UPnProxy-kwetsbaarheid, zoals zoveel problemen die we recent hebben gezien, wordt veroorzaakt door ongeauthenticeerde diensten die blootgesteld zijn aan het internet op manieren die nooit de bedoeling waren. Aanvallers hebben verschillende aspecten van bekende UPnP-problemen genomen en gecombineerd om een krachtig proxy-netwerk te maken om hun verkeer te verbergen", aldus de onderzoekers. Ze merken op dat gebruikers verschillende opties hebben, zoals het uitschakelen van UPnP, het dichtzetten van udp-poort 1900 voor inkomend verkeer en als laatste het vervangen van de router.
en in andere community-berichten hier ook herhaaldelijk vertelt dat je voor de veiligheid PnP uit moet zetten.
Dat roept iedereen toch al 100 jaar...
Misschien tijd dat mensen ontdekken dat NAT ook geen firewall is, IPv6 uitrollen, IPv4 uitfaseren en gewoon je firewall knap beheren aub!
Dat roept iedereen toch al 100 jaar...
Misschien tijd dat mensen ontdekken dat NAT ook geen firewall is, IPv6 uitrollen, IPv4 uitfaseren en gewoon je firewall knap beheren aub!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
