Selon le dernier rapport d'Akamai, il semblerait que de mauvais acteurs abusent de plus de 65 000 routeurs pour créer des réseaux de proxy pour des activités secrètes ou même illégales. Akamai est un réseau américain de diffusion de contenu et un fournisseur de services cloud. Les protocoles Universal Plus et Play sont utilisés de manière abusive par les opérateurs de réseaux de zombies et les groupes de cyber-espionnage. UPnP est livré avec tous les routeurs modernes, et la cible des mauvais acteurs est de proxy par mauvais trafic et de cacher leur emplacement réel.

UPnP est ciblé ces jours-ci

Les utilisateurs malveillants abusent du protocole UPnP. Il s'agit d'une fonctionnalité essentielle, car elle facilite l'interconnexion de périphériques locaux avec le Wi-Fi et le transfert de ports et de services sur le Web. Le protocole est vital pour les routeurs modernes, mais son insécurité a été prouvée il y a plus de dix ans. Les attaquants en abusent depuis, et il semble maintenant qu'il existe une toute nouvelle façon de procéder. De mauvais acteurs ont découvert que des routeurs particuliers exposent les services du protocole destinés uniquement à la découverte entre périphériques.

Le nom de code de la faille est UPnProxy

Les pirates ont abusé de ces routeurs pour injecter des logiciels malveillants dans leurs tables de traduction d'adresses réseau. La faille permet aux attaquants d’utiliser des routeurs avec des services UPnP mal configurés en tant que services proxy pour leurs propres opérations secrètes et illégales. La faiblesse est importante car les cybercriminels peuvent se connecter aux routeurs qui exposent leur backend sur le Web.

Les pirates peuvent l'exploiter pour contourner les pare-feu et accéder aux adresses IP afin de renvoyer le trafic vers d'autres adresses IP. Ceci peut être utilisé pour masquer les emplacements réels des pages de phishing, des campagnes de spam, des fraudes aux clics publicitaires et autres "goodies" similaires.

Résultats et solutions d'Akamai

Akamai a détecté environ 4, 8 millions de routeurs ou de routeurs vulnérables, et les experts ont découvert des injections NAT actives sur plus de 65 000 périphériques. Akamai a également créé une liste de 400 modèles de routeurs fabriqués par 73 fournisseurs actuellement vulnérables. Il est conseillé aux utilisateurs de remplacer leurs routeurs par des modèles dépourvus de cette vulnérabilité. Akamai a également publié un script Bash permettant d'identifier les routeurs vulnérables.