Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Universal Hack and Play – jak przejąć 300 000 routerów bez ich infekcji…?
Dokładniej chodzi o temat UPnP. Mechanizm ten służy do łatwej, nie wymagającej żadnych uprawnień rekonfiguracji ustawień sieciowych na routerach (głównie tych domowych).
Komunikacja UPnP zazwyczaj ma trzy fazy:
- Rekonesans dość nietypowym requestem HTTP over UDP (tzw. SSDP)
- Pobranie pliku XML z routera z informacjami o możliwości konfiguracji UPnP na danym urządzeniu.
- Wysłanie pliku XML rekonfigurującego urządzenie.
Ważne jest to, że operacje te wykonywane są bez konieczności podania danych uwierzytelniających. Na diagramie wygląda to tak:
W normalnej sytuacji powinno dać się taką rekonfigurację (a wcześniej discovery z wykorzystaniem SSDP) zrealizować tylko z LAN. Ale to tylko teoria, okazuje się że około 2 miliony urządzeń mają dostępne UPnP na publicznym adresie IP.
Co można z tym dalej zrobić? Akamai właśnie opisuje kampanię ETERNALSILENCE, która właśnie dotknęła około 50 000 urządzeń. A dokładniej, z wykorzystaniem UPnP robione jest przemapowanie portów z LAN (445, 139) – tak żeby były one dostępne z Internetu. Po co? Aby wykorzystać podatność EternalBlue (znanej choćby z ransonware WannaCry) na komputerach które normalnie nie są osiągalne z Internetu.
Wracając do głównego zagadnienia – oczywiście możliwość anonimowej realizacji przekierowań portów na routerze ofiary niesie spore problemy (choćby wspomniany dostęp do komputerów w LAN!), a autor tego badania pokazuje możliwość połączenia kilku podatnych routerów w małą sieć anonimizującą – po prostu przepuszczamy nasz ruch przez kilka podatnych urządzeń:
Skala problemu jest całkiem spora, spośród 2 milionów routerów udostępniających UPnP do Internetu, prawie 300 000 jest podatnych na wspomniany atak Open Forward. Bez uwierzytelnienia, bez infekcji, poprzez Universal Hack And Play.
Co ciekawe, Polska jednym z przodujących krajów w EU pod względem podatnych routerów:
–ms
Zakładam, że któryś ogólnokrajowy operator ma fabrycznie źle skonfigurowane routery…
I dlatego właśnie zawsze to wyłączam. :)
Na mapie pokazana jest Warszawa i okolice, więc pytanie czy to Orange i jakiś router od światłowodu czy to raczej jakaś kablówka UPC względnie coś innego. Może być też tak, że to i Orange i UPC i jeszcze kilka pomniejszych.
W Polsce dotyczy to przede wszystkim Orange, wystarczy spojrzeć w Shodan ;)