Destapan una botnet con 65000 routers con el protocolo uPnP vulnerado

Investigadores de la firma Akamai han descubierto una botnet (definición de Botnet en Wikipedia) proxy compuesta por la friolera de 65000 routers expuestos a internet mediante el protocolo uPNP, que muchos de los enrutadores de consumo traen habilitado por defecto.

Los ciberdelincuentes han comprometido los dispositivos mencionados que componen esta gigantesca red proxy, diseñada con diferentes propósitos en mente, pero ninguno bueno: envío de spam, phishing masivo, fraudes con anuncios y robo de cuentas o tarjetas de crédito son algunos de los objetivos para los que se usa, sin olvidar los ataques de denegación de servicio masiva o DDoS.

UPnProxy: 65000 routers infectados formando una gran botnet

Mientras realizaban escaneos de seguridad rutinarios sobre este tipo de dispositivos, los investigadores de Akamai descubrieron dispositivos vulnerables con inyecciones NAT que los hacían vulnerables para ser abusados por terceras partes. Del informe publicado se puede extraer lo siguiente:

Mientras investigábamos algunos dispositivos con uPnP habilitado que habían realizado ataques contra clientes de Akamai, descubrimos que algunos de ellos eran más susceptibles a este tipo de ataque que otros, y que contenían inyecciones de NAT maliciosas. […] Estas inyecciones estaban presentes en buen número de dispositivos de todo el mundo y parecían formar parte de una campaña de ataques masiva y organizada.

Akamai descubrió más de 4,8 millones de dispositivos vulnerables a solicitudes SSDP mediante UDP. De estos, unos 765000 eran además vulnerables a implementaciones mediante TCP. Del total, aproximadamente unos 65000 (1,3%) tenían inyecciones de NAT realizadas con éxito.

El protocolo uPnP es inseguro

Acerca del protocolo uPnP

Universal Plug and Play o uPnP se refiere a un conjunto de protocolos de comunicación que posibilitan que los dispositivos de red, ya sean ordenadores, impresoras, aparatos WiFi o móviles (entre otros) descubrir a otros dispositivos de la red y establecer comunicación sin precisar de configuración adicional. Permite la negociación y configuración automática para apertura y reenvío de puertos en entornos de redes que emplean NAT.

Es un protocolo muy conveniente en cuanto a que ahorra esfuerzo para comunicar por ejemplo redes privadas con redes WAN para comunicar unos dispositivos con otros, pero no está diseñado con la seguridad en mente y es fácilmente vulnerable.

El protocolo de comunicación uPnP está ampliamente utilizado incluso a pesar de haberse demostrado ya hace muchos años su falta de seguridad. Ya en 2013, invetigadores de Rapid7 publicaron un informe titulado “Fallos de seguridad en Universal Plug and Play” que describe perfectamente los peligros que acarrea su uso.

Destapan una botnet con 65000 routers con el protocolo uPnP vulnerado

Estas inyecciones parecían apuntar, en el caso que nos ocupa, a diferentes servicios y servidores en todo internet. La mayoría de las inyecciones se hacían contra el puerto TCP 53 (resolución DNS) con 15900 casos detectados. También se ha abusado ampliamente de los puertos 80 (HTTP) con 9500 dispositivos comprometidos y del protocolo HTTPS, con 15500 casos.

En la mayoría de casos se han atacado dispositivos de red de consumo, con unas 73 marcas y cerca de 400 modelos afectados.

¿Cómo se produce el ataque?

La información necesaria para explotar esta vulnerabilidad será revelada inicialmente en la “prueba de respuesta” SSDP. Mediante el uso del encabezado “Ubicación” el atacante podrá obtener detalles necesarios para establecer una conexión con el demonio UPnP mediante TCP.

Los detalles revelados al atacante incluirán el puerto donde escucha este “demonio” y también la ruta local que listará los servicios ofrecidos por el mismo. Modificando la URL obtenida para usar la dirección IP pública en lugar de la IP privada, el atacante será capaz de comunicarse con el demonio UPnP.

El protocolo uPnP es inseguro

A partir de ahí, mediante un XML generado por el propio dispositivo el atacante podrá conocer todos los servicios ofrecidos por el router. Para no hacer muy largo este artículo, te recomiendo que visites el informe publicado por Akamai para consultar todos los detalles.

El informe también habla de 23 millones de direcciones IP relacionadas con el Portable UPnP SDK como vulnerables a ejecución remota de código mediante el uso de un simple paquete UDP. Por otro lado se habla además de unos 6900 productos de más de 1500 marcas que son vulnerables a un ataque contra el SOAP uPnP.

Aprende más9 consejos para proteger tu router de ataques

La botnet (red de bots) descubierta por Akamai se compone de de los routers vulnerables y los convierte en proxys, motivo por el cual han dado en llamarlos UPnProxy. En cuanto a sus dimensiones, tenemos que la IP más identificada fue inyectada 18,8 millones de veces en 23286 dispositivos diferentes, mientras que la segunda apareció más de 11 millones de veces en cerca de 60000 dispositivos.

Parte de esta gran botnet compuesta por routers con UPnP ya fue descubierta por Symantec recientemente cuando estaban investigando algunos usos del Kit de Exploit Inception, utilizado ampliamente hoy en día, con estos dispositivos haciendo las veces de proxy para camuflar las ubicaciones reales de estos ciber-atacantes.

2 comentarios en “Destapan una botnet con 65000 routers con el protocolo uPnP vulnerado

  1. “El informe también habla de 23 millones de direcciones IP relacionadas con el Portable UPnP SDK como vulnerables a ejecución remota de código mediante el uso de un simple paquete UDP.”
    ¿Esto quiere decir que un simple ataque desde el exterior puede tomar el control de nuestro router?¿no hace falta con infectarnos con un malware?
    aparte de esto ¿pueden cambiarnos cosas de la configuracion del router, como dns?

    Me gusta

    1. Hola Dani,
      En principio lo normal sería decir que haría falta una interacción previa (que la comunicación se originase del lado del router) para que el uPnP pudiera ser atacado, sin embargo eso era antes. Con el caso actual, lo que ocurre es que el SSDP (Protocolo Simple de Descubrimiento de Servicios) está filtrando más datos de los que debiera y permite que el atacante obtenga información sobre la asignación y segmentación de red.
      Esta información se envía en UDP multicast y es fácilmente capturable. No es difícil después para el atacante llevar a cabo el resto de pasos para redirigir el puerto del router a uno de su elección.

      Ahora bien, este problema no debería afectarnos de forma crítica (incluso sin desactivar UPnP) si tenemos credenciales fuertes en la administración del router y además complementamos con un bloqueo de intentos fallidos que limite ataques de fuerza bruta.

      En cuanto al segundo tipo de ataque -el que transforma nuestro router en UPNProxy- la única diferencia es que el socket (host:puerto) al que apuntará nuestro puerto local es externo y totalmente ajeno a nuestra red. Esto es lo que se ha estado haciendo para camuflar los verdaderos orígenes de los ataques lanzados por estos individuos y su principal objetivo.

      No todos los routers estarían afectados, pero para saber si el nuestro está comprometido en la página 13 del informe existe un script que sirve para realizar la prueba, además de otros métodos:

    2. Uso de estos comandos si tienes iptables en Linux:
      iptables -t nat -L
      iptables -t nat -L -n -v | grep ‘something’
      iptables -t nat -L -n -v
    3. Uso del comando Get-Net en Windows con Powershell, más información en https://docs.microsoft.com/en-us/powershell/module/netnat/get-netnatexternaladdress?view=win10-ps

      Espero haberte aclarado.

      Saludos.

      Me gusta

Deja tu comentario (puedes hacerlo de forma anónima)

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

w

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.