Три четверти роутеров уязвимы через открытые UPnP-интерфейсы
По результатам поисковой выдачи Shodan, во всем мире найдено почти 1,7 млн единиц уязвимых устройств, включая роутеры, медиа-устройства и игровые приставки.
Большинство роутеров с UPnP-интерфейсом уязвимы для атак злоумышленников и могут быть включены в ботнет для сокрытия вредоносного трафика. К такому выводу пришли специалисты Trend Micro, изучившие доступные онлайн-устройства при помощи Shodan. Помимо маршрутизаторов под угрозой находятся умные телевизоры, игровые консоли и другие элементы Интернета вещей, однако процент открытых портов у них существенно ниже, передает KZ-CERT.
Как выяснили аналитики, 76% роутеров, 27% медиа-устройств и 19% игровых приставок имеют открытый онлайн порт UPnP. Это дает киберпреступникам возможность атаковать оборудование через известные уязвимости или неправильно настроенный интернет-доступ. По результатам поисковой выдачи Shodan, во всем мире найдено почти 1,7 млн единиц таких устройств, более 200 тыс. из которых находятся в России.
Проблему усугубляет применение устаревших UPnP-библиотек, многие из которых содержат серьезные бреши, взятые на вооружение злоумышленниками. По информации ИБ-специалистов, прошивка 16% уязвимых устройств работает с MiniUPnPd. При этом почти четверть из них используют первую версию утилиты, в которой найдены баги переполнения буфера и другие проблемы. Актуальный вариант библиотеки найден в системном ПО лишь 5% доступного IoT-оборудования.
Еще 18% устройств оснащены Windows UPnP Server, который может содержать брешь CVE-2007-1204, допускающую удаленное выполнение кода, а один из 20 приборов использует библиотеку Libupnp, известную семилетним багом CVE-2012-5958. Последняя уязвимость присутствует во всех версиях утилиты до релиза 1.6.18 и позволяет злоумышленникам выполнить произвольный код, отправив в систему вредоносный UDP-пакет.
В апреле прошлого года стало известно о гигантском ботнете, составленном из маршрутизаторов с открытым UPnP-интерфейсом. Вредоносная сеть, обнаруженная ИБ-специалистами, насчитывала 65 тыс. устройств и использовалась в качестве прокси-сервера, скрывающего криминальную активность. Как выяснили аналитики, киберпреступники изменяли таблицы трансляции сетевых адресов (NAT), чтобы роутер перенаправлял внешние запросы на указанный ими IP.