导语:UPnProxy攻击不但能代理恶意流量,还能隐藏其真实的攻击位置以逃避分析人员的调查。目前,Akamai已经发现该攻击已经滥用了至少65000台路由器为各种秘密或非法活动创建代理网络。
阿卡迈技术公司(以下简称:Akamai) 在本周一最新发布了一份有关僵尸网络运营商和网络间谍组织(APT)滥用所有现代路由器附带的通用即插即用(UPnP)协议来代理恶意流量的报告,其中还指出这种攻击不但能代理恶意流量,还能隐藏其真实的攻击位置以逃避分析人员的调查。
目前,Akamai已经发现该攻击已经滥用了至少65000台路由器为各种秘密或非法活动创建代理网络。
UPnP被滥用由来已久
计算机路由器和其他网络设备是导致用户个人设备极易受到攻击的根源,因为它们都普遍采用了即插即用(Universal Plug and Play, UPnP)技术。该技术能够让网络更加便捷地识别外部设备并与之进行通讯,这大大节省了网络调试时间。
早在2013年,Rapid7的研究人员就已经从即插即用技术标准中发现了三种相互独立的漏洞,而当是这些漏洞就已经可以导致全球4000万到5000万台设备极易受到攻击。其中这些设备的名单中包括数家全球知名网络设备生产商的产品,比如Belkin、D-Link以及思科旗下的Linksys和Netgear。
UPnP本身采用“自动端口映射”的方式,可以使外网与内网电脑直接通过端口映射方式相互连接,而无需手动设置,互联网上拥有自有IP的每台设备,都会有多个端口。在没有UPnP的时候,外网数据到进入内网电脑,需要通过手工在路由器上指定端口映射。一旦把某端口映射到一台内网电脑后,那么这个端口就不能被其他电脑使用,同时,没有指定映射的端口,无法使用。
而在UPnP情况下,所有端口是“即插即用”,不受路由器指定映射的影响,可以发挥每个端口的最大连接效率,因此,可以大大加快内网,尤其是P2P应用的速率。根据Akamai的说法,黑客之所以会大规模地滥用UPnP协议,是因为该协议可以更容易地连接本地支持WiFi的设备,并将端口和服务转发到网络中。
由于UPnP对于当今大多数路由器来说都是至关重要的服务,但该协议十多年前已被证明是不安全的,各种UPnP漏洞已被花式滥用。比如恶意软件可以利用UPnP侵入你的网络,这样黑客可以在你的电脑上安装一个远程操控程序并打开路由器防火墙的一个小缺口,让木马可以全天候入侵你的电脑。再比如Flash的UPnP攻击于2008年被发现,一个很特别的小Flash程序,在你打开的浏览器中的一个网页上运行,可以向路由器发送UPnP申请来通过端口。
不过Akamai表示,本次黑客利用UPnP发起的攻击属于一种全新的方式,通过这种方式,黑客最近一直在滥用UPnP。研究人员发现,之所以说是全新的方式,是因为这一次攻击者发现了一些路由器会通过其WAN(外部Internet)接口暴露用于设备间所发现的UPnP服务。
攻击者利用UPnP进行NAT(Network Address Translators)注入
由于UPnP服务的NAT配置不当,所以黑客一直在滥用这些漏洞,其具体做法就是在路由器的NAT表中注入恶意路由。这样,黑客就可以进一步控制路由器内部网络的IP和端口,映射到网络中。
这一套做法被Akamai的研究者称为NAT攻击规则,攻击者可以利用该规则在特定端口上连接路由器的公共IP,并自动重定向到另一个IP:PORT。
换句话说,这个漏洞允许攻击者使用配置错误的UPnP服务的路由器来作为他们的代理服务器,这就是Akamai将这次攻击定义为UPnProxy的原因。
黑客可以利用UPnProxy绕过防火墙并访问内部IP地址,如下图所示,UPnProxy漏洞可将流量传递到内部网络。
或使用路由器将请求重定向到全新的IP地址或域名,如下图所示,UPnProxy漏洞将被黑客用于将流量返回到外部IP。
UPnProxy攻击的严重程度如何
UPnProxy是一个严重的漏洞,因为它允许攻击者访问通常情况下,不会在网上公开其后端的路由器的登录面板。此时, UPnProxy会将[public_IP]:[custom_port]的请求重定向到托管在内部受限IP地址上的路由器后端面板。
不过这并不代表攻击就可以轻而易举地开始,尽管这些路由器的登陆凭证很容易被绕过,但由于在攻击之前,这些凭证并未受到暴力攻击的影响,所以一开始后端管理面板比较难以(有时甚至不可能)被攻击者所利用。所以攻击者要做的第一件事就是用UPnProxy对内部网络上任何设备的后端面板执行暴力攻击。
目前UPnProxy已被多个APT组织滥用
由于UPnProxy还有可能会被用来将流量重定向到任何其他IP地址,因此该漏洞可用于创建代理的交织网络。也就是说,在受害者看到自己真正的网页之前,黑客已将流量重定向到数十或数百个IP。
这种攻击活动可能会被滥用,以掩盖垃圾邮件活动的位置,钓鱼网页,广告点击欺诈和DDoS攻击。因此,UPnProxy非常适合僵尸网络运营商,网络犯罪相关活动,也适用于网络间谍活动。
而在赛门铁克3月14号发布的另一份报告中说,该公司的研究人员也看到了一个代号为“Inception Framework”的攻击活动,该攻击是由一个国家的政府支持的,攻击者就是利用UPnProxy技术来隐藏其真实位置的。
如下图所示,APT使用UPnProxy漏洞隐藏其攻击位置。
480多万台路由器可能存在UPnProxy漏洞
Akamai表示,目前他们已检测到480多万台路由器通过WAN接口暴露了各种UPnP服务。且可以肯定的是,黑客已在65000多台设备上进行过NAT注入,这意味着这些路由器不但已经遭受过攻击,并且在没有争取设备所有者的同意的情况下,重定向流量。要想避免遭受UPnProxy攻击,除非设备所有者能够找到并检查路由器的NAT表,否则识别正在受攻击或易受攻击的路由器并不是一项简单的任务,可以说几乎99.99%的SOHO路由器所有者无法实现这样的安全检查。SOHO路由器,即小办公室家庭办公室用的路由器,适用于ADSL、HFC或小区宽带的Internet共享接入,并提供简单的路由服务和防火墙功能。
所以为了帮助这些不专业的用户,Akamai编制了73个供应商的400个路由器模型列表。他们认为这些模型会通过WAN接口暴露UPnP服务,这意味着这些服务器可能很容易受到UPnProxy攻击。
缓解措施
要想根除UPnProxy攻击,关键在于这些受影响的供应商,它们必须通过发布固件更新来纠正UPnP配置,这样才能阻止WAN接口暴露UPnP服务。不过这在短期内是不可能实现的,为此Akamai能够提供的唯一建议是,用户先看一下自己所使用的路由器型号是否包含在这份报告中,如果报告中包含有你的型号,请立即更换掉。
此外,Akamai还提供了一个Bash脚本,该脚本可以识别易受攻击或已经受到攻击的路由器。不过使用此脚本的难度有点大,因为用户必需知道如何通过SSH连接到其路由器的终端,这样才能运行Bash脚本。
Akamai报告中列出了易受攻击的路由器型号列表,Bash脚本以及UPnProxy的完整技术资料,你可以点此详细了解。