به گزارش شرکت اینترنتی آکامای (Akamai)، بیش از ۲۷۰هزار دستگاه متصل به اینترنت که سرویس آسیبپذیر UPnP را اجرا میکنند، برای تبدیل شدن به بخشی از یک باتنت چندمنظوره آسیبپذیر هستند. این باتنت که UPnProxy نام دارد، برای اولین بار در ماه آوریل سال جاری و زمانیکه حدود ۶۵هزار دستگاه را آلوده کرد، منتشر شد. در حال حاضر و در دنیای واقعی، بیش از ۴۵هزار دستگاه آسیبدیده در پویش تزریق NAT UPnP وجود دارد. پروتکل UPnP که بهمنظور برقراری ارتباط بهتر میان دستگاههای یک شبکهی داخلی (LAN) طراحی شده است، برای بیش از یک دهه آسیبپذیر بوده است. پیادهسازیهای آسیبپذیر ممکن است خدمات دارای امتیاز و بهعبارتی خدماتی را که تنها توسط دستگاههای قابلاطمینان در یک شبکهی محلی مورد استفاده قرار میگیرند، در معرض افشاء قرار دهد.
به گفتهی شرکت آکامای، ۳٫۵ میلیون دستگاه آسیبپذیر در سراسر جهان وجود دارد که ۲۷۷هزار مورد از آنها نسبت به باتنت UPnProxy آسیبپذیر هستند. این باتنت تاکنون حداقل ۴۵هزار دستگاه را آلوده کرده است، اما مهاجمان همچنان به دنبال یافتن دستگاههای بیشتر برای به خطر انداختن هستند. محققان امنیتی آکامای همچنین از پویش تزریق جدیدی خبر میدهند که اخیرا کشف شده است. محققان امنیتی پیش از این اشاره کرده بودند که مهاجمان میتوانند از باتنت UPnProxy برای بهرهبرداری از سیستم مسیریابهای آسیبدیده استفاده کنند، و اکنون بهنظر میرسد که این اتفاق رخ داده است. آکامای میگوید: «برای کاربران خانگی، این حملات میتواند منجر به خطراتی مانند خدمات آسیبدیده، آلودگیهای بدافزاری، باجافزارها و کلاهبرداری شود. اما برای کاربران تجاری، این تحولات اخیر به معنای سیستمهایی است که در وهلهی اول هرگز نباید بر روی اینترنت وجود داشته باشند، اما در حال حاضر بهصورت ناخودآگاه موجود هستند و شانس زیادی برای آسیبپذیری دارند.»
محققان امنیتی همچنین توضیح میدهند که خدمات افشاشده در این پویش، سابقهی بهرهبرداری در پویشهای حمله به بسترهای ویندوز و لینوکس، پورتهای TCP شماره ۱۳۹ و ۴۴۵ را دارند. این پویش که شرکت آکامای از آن بهعنوان EternalSilence یاد میکند، ظاهرا بهدنبال به خطر انداختن میلیونها دستگاه پشت مسیریابهای آسیبپذیر با بهرهبرداری از آسیبپذیریهای اترنالبلو (CVE-2017-0144) و اترنالرد (CVE-2017-7494) است. خانوادهی جدید تزریقها در تاریخ ۷ نوامبر کشف شد، اما محققان میگویند که آنها نمیتوانند باردادههای نهایی را مشاهده کنند، بنابراین نمیتوانند بگویند که پس از آسیب دیدن دستگاه چه اتفاقی میافتد. با این حال، سناریوهای حملهی احتمالی شامل باجافزار، دربهای پشتی و انواع دیگر بدافزارها میباشد.
به گفتهی محققان این حملات ظاهرا رفتار فرصتطلبانه دارند. مهاجم احتمالا تمام اینترنت را برای یافتن پروتکل SSDP پویش کرده و به دیمونهای UPnP TCP متصل میشود و یا مجموعهای از دستگاههایی را که از پورتهای استاتیک (TCP/2048) و مسیرهای (/etc/linuxigd/gatedesc.xml) برای دیمونهای UPnP خود استفاده میکنند، مورد هدف قرار میدهد. این روش اضطراری تزریق کورکورانهی پورت SMB ممکن است جواب دهد، زیرا ممکن است دستگاههایی وجود داشته باشند که بهدلیل اینکه بهصورت مستقیم و اینترنتی در معرض افشاء قرار ندارند، اما در پشت پروتکل NAT مخفی هستند، در مرحلهی اول حملات اترنالبلو و اترنالرد تحت تأثیر قرار نگیرند. حملات باتنت EternalSilence محافظتهای پروتکل NAT را حذف کرده و دستگاهها را در معرض بهرهبرداریهای قدیمی قرار میدهد.
منبع