پژوهشگران موسسه آکامای، بدافزار پیشرفتهای شناسایی کردهاند که میتواند پیکربندیهای مسیریابهای خانگی را ویرایش واتصالات رایانه ها را آلوده کند.هم اکنون ۱.۷ میلیون سیستم در معرض خطر هستند.
معاونت بررسی مرکز افتای ریاست جمهوری از نفوذ هکرها به هزاران مسیریاب از طریق UPnProxy خبر داد و اعلام کرد: پژوهشگران Akamai یک بدافزار پیشرفته را شناسایی کردهاند که میتواند پیکربندیهای مسیریابهای خانگی و دفاتر کوچک را ویرایش کند تا اتصالات شبکههای داخلی و رایانههای شبکه را آلوده کند.
در این نفوذ سایبری، هکرها از تکنیکی با نام UPnProxy استفاده کردهاند که مبتنی بر سوءاستفاده از آسیبپذیریهای موجود در سرویسهای UPnP است و روی برخی مسیریابها نصب شدهاند تا جدولهای NAT دستگاه را ویرایش کنند.
در ماه آوریل، هکرها از این تکنیک برای تبدیل مسیریابها به پراکسیهایی برای ترافیک عادی وب استفاده کردند. اما در گزارشی که Akamai منتشر کرده، نوع جدیدی از UPnProxy شناسایی شده که هکرها توسط آن سرویسهای UPnP را به کار بردهاند تا قوانین ویژهای به جدولهای NAT مسیریابها اضافه کنند. این قوانین همچنان به عنوان پراکسی کار میکنند، اما به هکرها اجازه میدهند تا به پورتهای (۴۴۵ و ۱۳۹) SMB و دستگاهها و رایانههای موجود در شبکه داخلی آن متصل شوند.
کارشناسان Akamai اعلام کردهاند که هم اکنون ۳.۵ میلیون دستگاه آسیبپذیر وجود دارند که حدود ۲۷۷۰۰۰ مسیریاب دارای سرویسهای UPnP آسیبپذیر هستند. اسکنهای Akamai نشان میدهد که به حداقل ۴۵ هزار مسیریاب نفوذ شده است. نفوذ به این مسیریابها، در مجموع ۱.۷ میلیون سیستم منحصر به فرد را در معرض خطر قرار میدهد.
پژوهشگران مشاهده کردهاند که هکرها یک ورودی NAT با نام galleta silenciosa (به معنی silent cookie/cracker در زبان اسپانیایی) در این ۴۵ هزار مسیریاب ایجاد کردهاند.
به نظر میرسد که مهاجمان از آسیبپذیریهای (EternalBlue (CVE-۲۰۱۷-۰۱۴۴ که از آژانس امنیت ملی امریکا (NSA) به سرقت رفته و (EternalRed (CVE-۲۰۱۷-۷۴۹۴ که نسخهای از EternalBlue است و از طریق Samba که سیستمهای لینوکسی را آلوده میکند، استفاده کردهاند.
Akamai این عملیات سایبری را EternalSilence نام گذاری کرده است.
Akamai توصیه کرده که برای بازیابی و جلوگیری از این حملات، صاحبان دستگاهها مسیریاب جدیدی تهیه کنند که دارای آسیبپذیری UPnP نباشند، یا در صورت آسیبپذیر بودن UPnP در دستگاه خود، آنرا غیرفعال کنند.
غیرفعال کردن UPnP ورودیهای تزریق شده بهNAT را پاک نمیکند، در نتیجه صاحبان مسیریابها باید آنرا راهاندازی مجدد کنند یا آنرا به تنظیمات کارخانه بازگردانند و سپس UPnP را بطور کامل غیرفعال کنند. همچنین بهروزرسانی به آخرین نسخه Firmware نیز توصیه میشود.
احتمال آلوده شدن سیستمهای متصل به مسیریابهای آسیبپذیر نیز وجود دارد و باید ترافیک غیرمجاز در LAN سیستمهای لینوکسی و ویندوزی که احتمالا با EternalBlue یا EternalRed آلوده شدهاند، بررسی شود.