Эксперты по кибербезопасности обнаружили в прошлом году довольно большой ботнет, состоящий из роутеров, хакнутых через UPnP. Оказывается, все гораздо интереснее. Вообще большинство роутеров с UPnP-интерфейсом уязвимы для атак злоумышленников и могут быть включены в ботнет для сокрытия вредоносного трафика.
Это не все. Помимо маршрутизаторов под угрозой находятся умные телевизоры, игровые консоли и другие элементы Интернета вещей, хотя процент открытых портов UPnP у них существенно ниже: 76% роутеров, 27% медиаустройств и 19% игровых приставок.
По результатам поисковой выдачи Shodan (давно ставшего рабочим инструментом хакеров), во всем мире найдено почти 1,7 млн единиц таких устройств, более 200 тыс. из которых находятся в России.
Проблему усугубляет возможность косвенного взлома, через применение устаревших UPnP-библиотек, многие из которых содержат серьезные бреши, взятые на вооружение злоумышленниками. По информации ИБ-специалистов, прошивка 16% уязвимых устройств работает с демоном MiniUPnPd. При этом почти четверть из них используют первую версию утилиты, в которой найдены баги переполнения буфера и другие проблемы. Актуальный вариант библиотеки найден в системном ПО лишь 5% доступного IoT-оборудования.
Еще 18% устройств оснащены Windows UPnP Server, который может содержать брешь CVE-2007-1204, допускающую удаленное выполнение кода, а один из 20 приборов использует библиотеку Libupnp, известную семилетним багом CVE-2012-5958, позволяющим выполнить произвольный код на машине.
Читайте также на АКБ:
Исследователи обнаружили в сети новую стремительно растущую бот-сеть BCMUPnP_Hunter, которая быстро разрастается за счет уязвимых роутеров. Уже на настоящий момент выявлены сотни тысяч зараженных устройств, используемых, по всей видимости, для рассылки спама – все они были заражены с сентября. Эксперты назвали ботнет BCMUPnP_Hunter, так как он построен на роутерах, использующих набор сетевых протоколов UPnP в реализации Broadcom. Загрузка ботов осуществляется через эксплойт хорошо известной уязвимости, обнаруженной в 2013 году. Эта критическая дыра, которая у ряда производителей до сих пор остается непропатченной, позволяет удаленно и без аутентификации выполнить произвольный код в системе с привилегиями root. В итоге ботнет успел набрать 65 тысяч «солдат».
Сотрудники ФБР завершили спецоперацию по обезвреживанию ботнета из 500 тысяч устройств от производителей Linksys, MikroTik, NETGEAR и TP-Link. Предполагается, что за созданием структуры стоит хакерская группировка Fancy Bear.
Специалисты компании Akamai раскрыли новую, идущую с ноября вредоносную кампанию EternalSilence, направленную на массовую компрометацию роутеров . Необычность атаки в том, что злоумышленники целенаправленно открывают SMB-порты роутеров, чтобы добраться до устройств, расположенных за ними.
Эксперты компании Tenable обнаружили сразу четыре уязвимости в домашнем роутере TP-Link TL-WR841N. Более того, две из них при совместной эксплуатации позволяют полностью перехватить управление маршрутизатором и даже загрузить на него новую прошивку.
American Consumer Institute провел исследование прошивок роутеров, представленных на рынке США (в принципе, список актуален и для России) и пришел к достаточно шокирующим результатам: едва ли один из шести роутеров выдержит самое банальное дуновение со стороны хакера. Или лучше так: в ыяснил, что 83% изученных роутеров содержат уязвимости , нередко критические, которые способные привести к взлому устройства и компрометации домашней сети.
