Hackers explotan Universal Plug and Play (UPnP) para convertir los enrutadores en un servidor proxy utilizado para nuevos ciberataques

Especialistas en ciberseguridad de Akamai reportan la detección de una campaña maliciosa basada en el abuso de los protocolos Universal Plug and Play (UPnP) con el fin de hackear enrutadores y usarlos con fines cibercriminales. La campaña fue identificada como Eternal Silence y convierte los enrutadores afectados en un servidor proxy parte de una infraestructura cibercriminal.

Todo comenzó con un informe de la misma firma publicado en 2018, cuando Akamai reportó que más de 65,000 enrutadores domésticos habían sido agregados a la botnet UPnProxy a través de la explotación de una vulnerabilidad en UPnP. En ese momento, la firma señaló que más de 23 millones de direcciones IP eran vulnerables a la ejecución remota de código (RCE) a través de un solo paquete UDP, lo que dejaba expuestas a ataques casi 7,000 versiones de enrutadores.

La explotación del protocolo permite a los actores de amenazas controlar el tráfico de entrada y salida de las redes. Además, la botnet maliciosa estaba compuesta por dispositivos vulnerables, incluyendo inyecciones de NAT maliciosas que convierten los enrutadores en proxies, razón por la que la botnet fue identificada como UPnProxy.

Sobre Eternal Silence, los expertos mencionan que esta es una familia de inyecciones que abusan de un par de vulnerabilidades (CVE-2017-0144 y CVE-2017-7494) en sistemas Windows y Linux sin actualizar. Estas vulnerabilidades son antiguas pero siguen afectando a más de 45,000 enrutadores, y todos contienen el conocido como “silent cookie” o “galleta silenciosa” para la explotación. Este conjunto de inyecciones son usadas para la exposición de puertos TCP 139 y 445 en dispositivos detrás del enrutador.

La explotación exitosa de las vulnerabilidades permitiría a los actores de amenazas usar los dispositivos comprometidos como parte de una botnet o bien abusar de sus capacidades de procesamiento para el minado de criptomoneda e incluso desplegar ransomware por las redes afectadas.

Los expertos recomiendan a los usuarios que instalen actualizaciones de enrutadores y parches de firmware para contener el riesgo de explotación. El reporte también agrega que muchas vulnerabilidades de UPnP aún siguen siendo explotadas, por lo que este es un riesgo de seguridad activo. En caso de que sus dispositivos ya hayan sido comprometidos con Eternal Silence, se recomienda actualizar o reiniciar el dispositivo a sus configuraciones de fábrica.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).