Universal Hack and Play – jak przejąć 300 000 routerów bez ich infekcji…?

Dokładniej chodzi o temat UPnP. Mechanizm ten służy do łatwej, nie wymagającej żadnych uprawnień rekonfiguracji ustawień sieciowych na routerach (głównie tych domowych).

Komunikacja UPnP zazwyczaj ma trzy fazy:

1. Rekonesans dość nietypowym requestem HTTP over UDP (tzw. SSDP)
2. Pobranie pliku XML z routera z informacjami o możliwości konfiguracji UPnP na danym urządzeniu.
3. Wysłanie pliku XML rekonfigurującego urządzenie.

Ważne jest to, że operacje te wykonywane są bez konieczności podania danych uwierzytelniających. Na diagramie wygląda to tak:

UPnP

W normalnej sytuacji powinno dać się taką rekonfigurację (a wcześniej discovery z wykorzystaniem SSDP) zrealizować tylko z LAN. Ale to tylko teoria, okazuje się że około 2 miliony urządzeń mają dostępne UPnP na publicznym adresie IP.

Co można z tym dalej zrobić? Akamai właśnie opisuje kampanię ETERNALSILENCE, która właśnie dotknęła około 50 000 urządzeń. A dokładniej, z wykorzystaniem UPnP robione jest przemapowanie portów z LAN (445, 139) – tak żeby były one dostępne z Internetu. Po co? Aby wykorzystać podatność EternalBlue (znanej choćby z ransonware WannaCry) na komputerach które normalnie nie są osiągalne z Internetu.

Wracając do głównego zagadnienia – oczywiście możliwość anonimowej realizacji przekierowań portów na routerze ofiary niesie spore problemy (choćby wspomniany dostęp do komputerów w LAN!), a autor tego badania pokazuje możliwość połączenia kilku podatnych routerów w małą sieć anonimizującą – po prostu przepuszczamy nasz ruch przez kilka podatnych urządzeń:

Skala problemu jest całkiem spora, spośród 2 milionów routerów udostępniających UPnP do Internetu, prawie 300 000 jest podatnych na wspomniany atak Open Forward. Bez uwierzytelnienia, bez infekcji, poprzez Universal Hack And Play.

Co ciekawe, Polska jednym z przodujących krajów w EU pod względem podatnych routerów:

UPnP

–ms