Az otthoni és irodai routerek egy olyan összetevője kapott hatalmas pofont, amely a felhasználók kényelmét szolgálja. Az ok pedig az, hogy a routergyártók is kényelmesek voltak: meglehetősen lazán kezelték az úgynevezett UPnP- (azaz Universal Plug and Play) hozzáférést. Ez a lazaság pedig megbosszulta magát.

A problémára az Akamai jött rá az úgynevezett UPnProxy sebezhetőség vizsgálata során. (A problémáról készült tanulmány itt [PDF] olvasható.) A Symantec ezt is kiderítette, hogy a sebezhetőséget aktívan használja a kiberbűnözők, igaz, egyelőre csak arra, hogy nehéz legyen felderíteni a támadás forrását.

Nem foglalkoztak az UPnP-vel

A sebezhetőség a routerek rossz konfigurációját használja ki. Az azonban fontos, hogy nem a felhasználók hozzá nem értése miatt nem megfelelő a konfiguráció, hanem a gyártók miatt. Egyszerűen nem minden esetben védték kellő körültekintéssel a routereket az internet felől történő, UPnP-alapú hozzáféréseknél.

Ha a támadó talál egy ilyen routert, akkor azon létrehozhat számára kedvező NAT-szabályokat, miáltal akár a hálózati eszközök menedzsmentfelületéhez is hozzáférhet. (A NAT, azaz a Network Address Translation teszi lehetővé, hogy a hálózatban lévő gépek közvetlenül kommunikálhassanak a külvilággal, azaz a hálózaton kívüli gépekkel.) A felhasználónak – a megtámadott gép használójának – nem kell aktívan közreműködnie ebben, és akár fel sem tűnik neki a támadás.

A routereket szeretik a kiberbűnözők, különösen azokat, amelyeknek a menedzsmentfelülete az internet felől is hozzáférhető. Az már csak hab a tortán, ha az alapértelmezett, gyári jelszavakkal hozzá lehet férni az eszközhöz.

Több millió eszközt veszélyeztet

Az UpnProxy sebezhetőség, amelynél a külső elérés lehetősége a döntő elem, többféleképpen is kiaknázható. Először is a támadók bizonyos portokon keresztül hozzáférhetnek a belső hálózathoz. A másik lehetőség, hogy a NAT-szabályok módosításával proxyként használhatják a kompromittált routereket, és átirányításokat végezhetnek. Ebből következik a harmadik lehetőség: az átirányítások segítik a támadókat abban, hogy elrejtsék a nemkívánatos tevékenységeiket.

Ez utóbbi segíti például a botnetek üzemeltetőit vagy azt, hogy a spamek akár több száz routeren átküldve jussanak célba, ami igencsak megnehezíti a spammer kilétének a felderítését.

Így rejti el magát a támadó UPnProxy-láncok segítségével

Forrás: Akamai

Az Akamai szerint közel 5 millió routerban van meg a UPnProxy sebezhetőség, bár egyelőre kevesebb mint 70 ezer eszköz esett áldozatul valamilyen támadásnak. A veszély azonban óriási, mivel több mint 400 routertípusban megvan ugyanez a hiba. Olyan gyártók is vannak a Akamai tanulmányának listáján, melyek Magyarországon is nagy mennyiégben adnak el routereket: például az ASUS, a Belkin, a D-Link, a ZyXel, a Netgear vagy a ZTE. A húszoldalas tanulmány utolsó három utolsó három oldalán sorolja a veszélyeztetett eszközöket.

Várni és reménykedni...

A történetben az a legszebb, hogy itt a felhasználó lényegében nem tud tenni semmit. Vár, és reménykedik, hogy routere nem válik hackertámadás áldozatává a frissítés megjelenéséig. A hibát ugyanis az Akamai szerint csak a firmware frissítésével lehet orvosolni. Mivel a legtöbb gyártó igyekszik az ilyen hibákra gyorsan reagálni, érdemes ellenőrizni, hogy van-e frissítés a routerünkhöz, és ha igen, azt lehetőleg azonnal telepítsük is.