Över 65 000 routrar missbrukas av multi-purpose Proxy Botnet

Computer Security News

Akamai säkerhetsforskare rapporterade att en multi-purpose proxy botnet har järngrepp över 65.000 routrar utsätts för Internet via Universal Plug and Play (UPnP) protokollet.

Experter funnit att de känsliga enheterna har NAT injektioner tillåter hackare att missbruka dem för olika ändamål som spam och phishing, konto övertagande och kreditkortsbedrägerier, klicka bedrägeri, malware distribution, distribuerad överbelastningsattack (DDoS) attacker, förbi censur, etc.

enligt Akamai, 65.000 injicerade enheterna är en del av en större uppsättning över 4,8 miljoner enheter sårbara för enkel UDP SSDP (UDP-portion av UPnP) förfrågningar.

Säkerhetsföretaget hävdar att ungefär 765,000 enheter hittades också för att exponera sin utsatta TCP-implementeringar.

En stor del av de påverkade enheterna är konsument-grade nätverksmaskinvara som kommer från 73 märken / tillverkare. Ca 400 modeller föreföll vara sårbara, Akamai rapporten avslöjar dock att andra tillverkare och enheter även kan påverkas av de sårbara UPnP-implementeringarna.

Det huvudsakliga syftet med UPnP-protokollet är att tillåta bättre kommunikation mellan enheter på ett LAN, men det är också lång-bekant att vara sårbara.

Faktiskt, bristfällig implementeringar har utsatts för över ett decennium, med en 2013 rapport avslöjar miljontals sårbara enheter på Internet.

UPnP-protokollet möjliggör automatisk förhandling och konfiguration av port opening/ vidarebefordring inom en bageriavfall nätverksmiljö, vilket innebär att enheter i nätverket kan öppna portar för att påskynda dirigeringen av trafiken in och ut ur nätverket. Men några av de exponerade tjänsterna är privilegierade och kan endast användas av betrodda enheter på ett LAN.

Bland de utsatta enheterna är skadlig NAT injektioner som ingår i en kampanj för organiserade och utbrett missbruk. Den huvudsakliga funktionen av dessa injektioner är att förvandla routrar till proxyservrar, som experterna kallar de injicerade enheterna UPnProxy.

Injicerade NAT posterna skapades för att arbeta i uppsättningar på olika enheter. Av den anledningen upptäckte över 65.000 infekterade enheterna, forskarna 17 599 unik slutpunkt IP-adresser.

De flesta identifierade IP injicerades över 18,8 miljoner gånger på 23,286 enheter, medan den andra-de flesta-injiceras IP verkade över 11 miljoner gånger mellan 59,943 enheter.

De viktigaste funktionerna av injektionerna är att peka på flera tjänster och servrar runt på Internet och de flesta av dem riktade TCP-portarna 443 (155 K för HTTPS) 53 (15.9M för DNS) och 80 (9.5M för HTTP).

Enligt Akamai sannolikt multi-purpose proxy botnet relaterade till starten ram hot skådespelaren som avslöjades först i 2014. Cyber gänget observerades tidigare inriktning ambassader, energi-och försvar, organisationer inom sektorerna för Consultancy/ säkerhet, Aerospace, forskning och Media.

Tidigare i år, rapporterade Symantec att starten ramen har fortsatt att verka under de senaste åren, ändra dess verktyg och tekniker.

Symantec sade dessutom att cyber gänget missbrukade Sakernas Internet enheter att gömma sig bakom fullmakter, att utnyttja UPnP-protokollet för att kapa utsatta routrar.


Leave a Reply

Your email address will not be published. Required fields are marked *