僵尸网络操纵者和网络间谍组织 (APT) 正在滥用路由器使用的通用即插即用 (UPnP) 协议来代理恶意流量并规避调查人员查看真实地理位置信息。目前发现发现攻击者滥用至少6.5万的路由器来创建各种类型的秘密或非法活动的代理网络。

滥用 UPnP 协议

Akamai 在报告中指出，攻击者正在滥用 UPnP 协议。该协议旨在让本地启用无线设备之间的互连更加容易，以及更加轻松地将端口和服务转到互联网上。

虽然 UPnP 对于目前的多数路由器而言是一种关键服务，但在十多年前它已被证实并不安全，而且自此以后恶意作者们已经滥用了多种 UPnP 缺陷。

Akamai 表示已经检测到恶意人员滥用 UPnP 的一种新方法。安全专家们指出，恶意人员发现某些路由器通过 WAN（外部互联网）接口暴露了旨在为跨设备发现的 UPnP 服务。

攻击者利用 UPnP注入 NAT

黑客一直都在用这些配置错误的 UPnP 服务将恶意路由注入到路由器的 NAT （网络地址转换）表中。NAT 表即控制内部网络的 IP 和端口如何映射到上面的网络（通常是互联网）的一系列规则。

这些自定义 NAT 规则虽然使得攻击者能够连接到路由器某个端口的公开 IP 地址，但被自动重定向到另外一个 IP:port 组合。

换句话说，这个缺陷使得攻击者将配置错误的 UPnP 服务的路由器用作实施操作的代理服务器，这也是 Akamai 将该漏洞问题命名为 “UPnProxy” 的原因。

黑客可以利用 UPnProxy 绕过防火墙并访问内部IP 地址。

或使用路由器将请求重定向到一个新的IP地址或域名。

upnproxy是一个严重的缺陷，因为它允许攻击者不在网上暴露自己的后台登录面板而访问路由器。UPnProxy 将把对 [public_IP]:[custom_port] 的请求重定向至托管于内部且不受限制的 IP 地址的路由器的后端面板上。

这样的路由器，尽管有弱凭据，但由于它们的管理员面板更难以（有时候根本不可能）由互联网攻击者接触，因此此前并不容易遭暴力攻击。UPnProxy 目前可导致攻击者针对内部网络中任何设备的后端面板发动暴力攻击。

UPnProxy 至少遭一个 APT 滥用

此外，因为upnproxy可以滥用反弹其他IP地址，该漏洞可以被用来创建一个交织在一起的网络代理，通过几十或几百个IPS的重定向流量再访问到最终的目标

这样的功能可能会被滥用于垃圾邮件活动，钓鱼网页，广告点击欺诈和DDoS攻击。正因为如此，UPnProxy 不仅是僵尸网络操纵者和网络犯罪人员也是网络间谍组织的理想之选。

在另一份报告中，在赛门铁克的报道中检测到国家黑客组织 “Inception Framwork” 利用这种 UPnProxy 技术将自己的真实位置信息隐藏在代理云中。

超过480万台路由器易受攻击

Akamai表示，在检测的480万台路由器中，由 WAN 接口暴露了多种 UPnP 服务。其中，Akamai的专家称他们已经发现了活跃的NAT注入超过65000的设备，这意味着这些路由器已经失密和使用的是没有经过使用者授权的重定向流量。

找到受攻陷或易受攻击的路由器并非易事，除非设备所有人能够找到并审计路由器的 NAT 表，而这一任务对于几乎99.99%的 SOHO 路由所有人而言是不可能完成的。

为了帮助用户，Akamai已经编制了一份名单，400路由器模型的73个供应商，他们认定这些机型均被指经由 WAN 界面暴露 UPnP 服务，而且可能易受 UPnProxy 攻击。

为了减轻upnproxy攻击，将要求所有受影响的厂商付出巨大的努力。这意味着发必须发布固件更新修正 UPnP 配置以阻止 UPnP 服务经由 WAN 接口被暴露。同时，Akamai 给出的唯一建议是用不在清单上的路由器机型替换现有的路由器机型。

此外，该公司还提供了一个Bash脚本，可以识别易受攻击的路由器，尽管这个脚本不会太有用，除非让用户知道如何通过SSH连接到路由器的终端并运行Bash脚本。

本文由RadeBit-Translate翻译君翻译并发布，未经许可禁止转载！