 |
 |
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
19 апреля, пятница, 00:00
|
|
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
Пользуясь тем, что у некоторых роутеров UPnP доступен через WAN-интерфейс, ботоводы модифицируют таблицы NAT.
Исследователи из Akamai Technologies обнаружили 65-тысячный ботнет на роутерах, используемый для проксирования трафика с целью сокрытия вредоносной активности.
Пользуясь тем, что у множества роутеров сервис UPnP неправильно сконфигурирован и доступен через WAN-интерфейс, злоумышленники модифицируют таблицы трансляции сетевых адресов (NAT), и приобщенное к ботнету устройство начинает работать как прокси-сервер, перенаправляя внешние запросы на указанный ими IP-адрес.
Широко используемый набор сетевых протоколов UPnP (Universal Plug and Play) облегчает обнаружение устройств и сервисов в локальной сети, позволяя автоматизировать их настройку и подключение друг к другу для совместной работы. UPnP также обеспечивает управление NAT-транслятором: пока эта служба включена, все изменения в таблице соответствия портов и IP-адресов производятся автоматически.
В силу специфики использования UPnP не предполагает аутентификации и при наличии ошибок в конфигурации или незакрытых уязвимостей может открыть доступ к устройствам во внутренней сети — в обход брандмауэра. В данном случае ботоводы, по свидетельству Akamai, используют сразу несколько известных проблем с UPnP — прежде всего возможность внедрять новые записи в таблицы NAT через интернет-доступ к привилегированной службе.
Расследование обнаружило злонамеренные NAT-инъекции примерно на 65 тыс. сетевых устройств; эксперты также идентифицировали 17,6 тыс. уникальных IP-адресов, на которые уязвимые роутеры перенаправляли входящие пакеты. В 450 случаев конечной точкой маршрута оказался почтовый сервер, что может указывать на проксирование трафика для спамеров.
Используемый с этой целью ботнет вполне способен надежно скрыть истинные источники спам-рассылок, накрутки рекламных кликов, раздачи зловредов, DDoS-атак. При этом пользователь устройства, которое входит в состав ботнета, проксирующего трафик для авторов подобных киберкампаний, не заметит ничего подозрительного. Внутренняя сеть будет функционировать в нормальном режиме, а принимаемые пакеты тут же отправятся далее в пункт назначения.
Злоупотребление в данном случае может выявить только сканирование конечного устройства и проверка записей в NAT-таблицах. По словам экспертов, в этом могут помочь специализированные фреймворки и библиотеки, доступные на рынке в разноязычных версиях.
В Akamai был написан простейший bash-скрипт, позволяющий проводить проверку сетевых устройств на уязвимость к NAT-инъекциям. По итогам тестирования создан список из 400 моделей от 73 производителей, которые потенциально могут входить в состав обнаруженного ботнета.
Если уязвимость устройства доказана, Akamai советует заменить его или как минимум отключить UPnP, хотя это будет помехой онлайн-играм и мультимедийным потокам. Удаление чужеродных записей NAT воспрепятствует использованию роутера в качестве прокси, но не предотвратит новые инъекции. Производителям, по мнению экспертов, следует перестать включать UPnP на внешних интерфейсах, а интернет-провайдерам и операторам сотовой связи не стоит разрешать в своих сетях передачу по протоколам, предназначенным для использования лишь в доверенных средах — таких как LAN.
 |
нравится | не нравится |  |
Рейтинг: | 0 |
Всего голосов: 0 |
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
| Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |
