UPnProxy攻擊已讓400款SOHO路由機型受影響，6多萬台設備已被攻擊

阿卡邁技術公司(以下簡稱:Akamai) 在本周一最新發布了一份有關殭屍網路運營商和網路間諜組織（APT）濫用所有現代路由器附帶的通用即插即用（UPnP）協議來代理惡意流量的報告，其中還指出這種攻擊不但能代理惡意流量，還能隱藏其真實的攻擊位置以逃避分析人員的調查。

目前，Akamai已經發現該攻擊已經濫用了至少65000台路由器為各種秘密或非法活動創建代理網路。

UPnP被濫用由來已久

計算機路由器和其他網路設備是導致用戶個人設備極易受到攻擊的根源，因為它們都普遍採用了即插即用（Universal Plug and Play, UPnP）技術。該技術能夠讓網路更加便捷地識別外部設備並與之進行通訊，這大大節省了網路調試時間。

早在2013年，Rapid7的研究人員就已經從即插即用技術標準中發現了三種相互獨立的漏洞，而當是這些漏洞就已經可以導致全球4000萬到5000萬台設備極易受到攻擊。其中這些設備的名單中包括數家全球知名網路設備生產商的產品，比如Belkin、D-Link以及思科旗下的Linksys和Netgear。

UPnP本身採用「自動埠映射」的方式，可以使外網與內網電腦直接通過埠映射方式相互連接，而無需手動設置，互聯網上擁有自有IP的每台設備，都會有多個埠。在沒有UPnP的時候，外網數據到進入內網電腦，需要通過手工在路由器上指定埠映射。一旦把某埠映射到一台內網電腦後，那麼這個埠就不能被其他電腦使用，同時，沒有指定映射的埠，無法使用。

而在UPnP情況下，所有埠是「即插即用」，不受路由器指定映射的影響，可以發揮每個埠的最大連接效率，因此，可以大大加快內網，尤其是P2P應用的速率。根據Akamai的說法，黑客之所以會大規模地濫用UPnP協議，是因為該協議可以更容易地連接本地支持WiFi的設備，並將埠和服務轉發到網路中。

由於UPnP對於當今大多數路由器來說都是至關重要的服務，但該協議十多年前已被證明是不安全的，各種UPnP漏洞已被花式濫用。比如惡意軟體可以利用UPnP侵入你的網路，這樣黑客可以在你的電腦上安裝一個遠程操控程序並打開路由器防火牆的一個小缺口，讓木馬可以全天候入侵你的電腦。再比如Flash的UPnP攻擊於2008年被發現，一個很特別的小Flash程序，在你打開的瀏覽器中的一個網頁上運行，可以向路由器發送UPnP申請來通過埠。

不過Akamai表示，本次黑客利用UPnP發起的攻擊屬於一種全新的方式，通過這種方式，黑客最近一直在濫用UPnP。研究人員發現，之所以說是全新的方式，是因為這一次攻擊者發現了一些路由器會通過其WAN(外部Internet)介面暴露用於設備間所發現的UPnP服務。

攻擊者利用UPnP進行NAT（Network Address Translators)注入

由於UPnP服務的NAT配置不當，所以黑客一直在濫用這些漏洞，其具體做法就是在路由器的NAT表中注入惡意路由。這樣，黑客就可以進一步控制路由器內部網路的IP和埠，映射到網路中。

這一套做法被Akamai的研究者稱為NAT攻擊規則，攻擊者可以利用該規則在特定埠上連接路由器的公共IP，並自動重定向到另一個IP:PORT。

換句話說，這個漏洞允許攻擊者使用配置錯誤的UPnP服務的路由器來作為他們的代理伺服器，這就是Akamai將這次攻擊定義為UPnProxy的原因。

黑客可以利用UPnProxy繞過防火牆並訪問內部IP地址，如下圖所示，UPnProxy漏洞可將流量傳遞到內部網路。

或使用路由器將請求重定向到全新的IP地址或域名，如下圖所示，UPnProxy漏洞將被黑客用於將流量返回到外部IP。

UPnProxy攻擊的嚴重程度如何

UPnProxy是一個嚴重的漏洞，因為它允許攻擊者訪問通常情況下，不會在網上公開其後端的路由器的登錄面板。此時， UPnProxy會將[public_IP]:[custom_port]的請求重定向到託管在內部受限IP地址上的路由器後端面板。

不過這並不代表攻擊就可以輕而易舉地開始，儘管這些路由器的登陸憑證很容易被繞過，但由於在攻擊之前，這些憑證並未受到暴力攻擊的影響，所以一開始後端管理面板比較難以（有時甚至不可能）被攻擊者所利用。所以攻擊者要做的第一件事就是用UPnProxy對內部網路上任何設備的後端面板執行暴力攻擊。

目前UPnProxy已被多個APT組織濫用

由於UPnProxy還有可能會被用來將流量重定向到任何其他IP地址，因此該漏洞可用於創建代理的交織網路。也就是說，在受害者看到自己真正的網頁之前，黑客已將流量重定向到數十或數百個IP。

這種攻擊活動可能會被濫用，以掩蓋垃圾郵件活動的位置，釣魚網頁，廣告點擊欺詐和DDoS攻擊。因此，UPnProxy非常適合殭屍網路運營商，網路犯罪相關活動，也適用於網路間諜活動。

而在賽門鐵克3月14號發布的另一份報告中說，該公司的研究人員也看到了一個代號為「Inception Framework」的攻擊活動，該攻擊是由一個國家的政府支持的，攻擊者就是利用UPnProxy技術來隱藏其真實位置的。

如下圖所示，APT使用UPnProxy漏洞隱藏其攻擊位置。

480多萬台路由器可能存在UPnProxy漏洞

Akamai表示，目前他們已檢測到480多萬台路由器通過WAN介面暴露了各種UPnP服務。且可以肯定的是，黑客已在65000多台設備上進行過NAT注入，這意味著這些路由器不但已經遭受過攻擊，並且在沒有爭取設備所有者的同意的情況下，重定向流量。要想避免遭受UPnProxy攻擊，除非設備所有者能夠找到並檢查路由器的NAT表，否則識別正在受攻擊或易受攻擊的路由器並不是一項簡單的任務，可以說幾乎99.99％的SOHO路由器所有者無法實現這樣的安全檢查。SOHO路由器,即小辦公室家庭辦公室用的路由器,適用於ADSL、HFC或小區寬頻的Internet共享接入,並提供簡單的路由服務和防火牆功能。

所以為了幫助這些不專業的用戶，Akamai編製了73個供應商的400個路由器模型列表。他們認為這些模型會通過WAN介面暴露UPnP服務，這意味著這些伺服器可能很容易受到UPnProxy攻擊。

緩解措施

要想根除UPnProxy攻擊，關鍵在於這些受影響的供應商，它們必須通過發布固件更新來糾正UPnP配置，這樣才能阻止WAN介面暴露UPnP服務。不過這在短期內是不可能實現的，為此Akamai能夠提供的唯一建議是，用戶先看一下自己所使用的路由器型號是否包含在這份報告中，如果報告中包含有你的型號，請立即更換掉。

此外，Akamai還提供了一個Bash腳本，該腳本可以識別易受攻擊或已經受到攻擊的路由器。不過使用此腳本的難度有點大，因為用戶必需知道如何通過SSH連接到其路由器的終端，這樣才能運行Bash腳本。

Akamai報告中列出了易受攻擊的路由器型號列表，Bash腳本以及UPnProxy的完整技術資料，你可以點此詳細了解。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！