Vulnerabilidad UPnP expone millones de equipos a exploits de NSA

Más de 45.000 routers (y los centenares de millones de equipos a los que se conectan) se han visto comprometidos por una campaña maliciosa que explota la conocida vulnerabilidad UPnP mediante el potente EternalBlue/Red, una familia de exploits creados por la NSA para sus programas de ciberespionaje masivo.

La nueva campaña ha sido localizada por Akamai y explota la vulnerabilidad UPnP conocida desde al menos 2013, pero aún explotada. Según los datos de la firma de análisis, todavía existen 277.000 routers ejecutando implementaciones vulnerables de Universal Plug and Play

45.000 de ellos se han visto afectados por una campaña de inyección UPnP NAT ampliamente distribuida, creando un sistema de proxy malicioso denominado UPnProxy que fuerza la apertura de los puertos 139 y 445 para acceder a los dispositivos (PCs, smartphones u otros) que se conectan a la red de los routers vulnerados. A partir de ahí lo de siempre: instalación de malware; campañas de spam y phishing; criptominería o su añadido a redes de bots.

Los ataques utilizan exploits conocidos de la familia ‘Eternal’. Desarrollada y utilizada por la Agencia de Seguridad Nacional estadounidense para los polémicos programas de espionaje masivo, fue filtrada a Internet por un grupo llamado ‘Shadow Brokers’ y un mes después llegó WannaCry, el ataque de Ransonware masivo de mayor alcance conocido, que alcanzó a 150 países y grandes empresas como Telefónica. Poco después llegó NotPetya, otro Ransonware que sigue el patrón habitual de este tipo de malware, bloqueando el equipo e impidiendo el acceso a documentos y archivos.

De aquellos polvos, estos lodos. Unos y otros se aprovechan de los exploits creados por NSA, lo mismo que los ataques que aprovechan esta vulnerabilidad UPnP en variantes como EternalBlue (CVE-2017-0144) que afecta a todas las versiones de Windows y EternalRed (CVE-2017-7494), que apunta a la implementación de código abierto del protocolo SMB, Samba, para atacar sistemas Linux.

Los administradores tendrán problemas para detectar las inyecciones de NAT maliciosas, ya que no hay visibilidad administrativa en un enrutador inyectado. El propio protocolo UPnP está diseñado para permitir que las máquinas soliciten automáticamente capacidades de reenvío de puerto / NAT desde la puerta de enlace. La mejor manera de identificar si un dispositivo es vulnerable o si está siendo aprovechado activamente para UPnProxying es escanear un punto final y auditar sus entradas de la tabla NAT. Akamai ha publicado un sencillo script de bash utilizado durante la investigación, capaz de probar dispositivos vulnerables.

Para el usuario de a pie, la recomendación es actualizar el firmware de los routers por si el fabricante ha parcheado la vulnerabilidad o de lo contrario deshabilitar completamente el protocolo UPnP

La entrada Vulnerabilidad UPnP expone millones de equipos a exploits de NSA se publicó primero en MuyComputer.


Comentarios

Entradas populares de este blog

Seat Ateca, vistas

Hyundai Staria, calibre

Alienware Area-51m, el portátil gamer más potente