超6萬台家用路由器正為黑客提供惡意流量，潛在可被利用的超4百萬

路由器附帶的通用即插即用（UPnP）協議正在被殭屍網路和網路間諜組織（APT）濫用，利用它來代理惡意流量，並隱藏其真實位置以逃避調查。

Akamai在周一發布的一份報告中透露，它發現黑客濫用了至少65,000台路由器為各種秘密或非法活動創建代理網路。

黑客正在濫用UPnP

根據Akamai的說法，攻擊者正在濫用UPnP協議，該協議可以更容易地連接本地支持WiFi的設備，並將埠和服務轉發到Internet。

UPnP對於當今大多數路由器來說都是至關重要的服務，但該協議十多年前已被證明是不安全的，並且惡意軟體作者已經濫用了多個UPnP漏洞。

Akamai表示，它發現了一個新的方式，通過這種方式，黑客最近一直在濫用UPnP。專家說，黑客發現一些路由器暴露了UPnP服務用於從WAN（外部網路）介面訪問其內部設備。

攻擊者利用UPnP進行NAT注入

黑客一直在濫用這些配置不當的UPnP服務，在路由器的NAT（網路地址轉換）表中注入惡意路由，這是一組規則，用於控制路由器內部網路的IP和埠如何映射到外面的網路（通常是Internet）。

這些自定義NAT規則允許攻擊者在特定埠上連接到路由器的公網IP，並自動重定向到另一個IP:PORT。

換句話說，這個漏洞允許攻擊者使用配置錯誤的路由器的UPnP服務作為他們的代理伺服器。因此Akamai將這個漏洞的代號命名為UPnProxy。

黑客可以利用UPnProxy繞過防火牆並訪問內部IP地址：

或使用路由器將請求重定向到全新的IP地址或域名：

UPnProxy是一個嚴重的漏洞，因為它允許攻擊者訪問通常不會在Internet上公開其後端的路由器的登錄面板。UPnProxy會將[public_IP]：[custom_port]的請求重定向到託管在內部受限IP地址上的路由器後端面板。

儘管這些路由器的認證機制薄弱，但之前並未受到暴力攻擊的影響，因為他們的管理面板比較難以（有時不可能）被Internet攻擊者觸及。UPnProxy現在允許攻擊者對內部網路上任何設備的後端面板執行暴力攻擊。

UPnProxy被至少一個APT濫用

另外，由於UPnProxy可能會被濫用以將流量反彈到任何其他IP地址，因此該漏洞可用於創建代理的交織網路，在到達最終目的地之前將流量重定向到數十或數百個IP。

該功能可能會被用來掩蓋垃圾郵件活動，釣魚網頁，廣告點擊欺詐和DDoS攻擊的位置。因此，UPnProxy非常適合殭屍網路，網路犯罪相關活動，也適用於網路間諜活動。

在一份單獨的報告中，賽門鐵克報告說，代號為「Inception Framework」的黑客行動就是利用UPnProxy技術將其真實位置隱藏在代理雲後面。

超過480萬台路由器可能存在漏洞

Akamai表示，它檢測到超過480萬個路由器通過WAN介面暴露各種UPnP服務。其中，Akamai專家表示，他們已經確定了超過65,000台這類設備上的主動NAT注入，這意味著這些路由器已經被入侵，並且正在積極用於在沒有設備所有者同意或知道的情況下重定向了路由流量。

除非設備所有者能夠發現並檢查路由器的NAT表，否則識別攻擊或潛在漏洞的路由器並不是一項簡單的事情，這是幾乎99.99％的家用路由器所有者無法實現的任務。

為了幫助用戶，Akamai編製了73個供應商的400個路由器型號列表，這些路由器通過WAN介面曝露了UPnP服務，可能容易受到UPnProxy攻擊。

減緩UPnProxy攻擊需要所有受影響供應商的巨大努力。這意味著需要發布固件更新來糾正UPnP配置，以停止通過WAN介面暴露UPnP服務。與此同時，Akamai能夠提供的唯一建議是，用戶將現有的路由器型號替換為列表中未列出的型號。

此外，該公司還提供了一個Bash腳本，可以識別易受攻擊或被主動利用的路由器，但是此腳本不一定有用，除非用戶知道如何通過SSH連接到其路由器的終端，運行並解釋Bash腳本的結果。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！