Plusieurs routeurs à la merci des cybercriminels à travers le protocole UPnP

By | April 13, 2018

Selon les experts d’Akamai une faille sur le protocole UPnP exposerait plus de 4.8 millions routeurs.
65000 d’entre eux seraient déjà membres d’un réseau de proxys multifonctionnel.

L’ Universal Plug and Play (UPnP) est un protocole réseau dont le but principal est de permettre l’interconnexion entre périphériques et de simplifier la mise en œuvre de réseaux domestiques et d’entreprises.
Avec l’UPnP, un périphérique peut joindre le réseau dynamiquement, obtenir une adresse IP, transmettre ses capacités, en savoir plus sur la présence d’autres périphériques du réseau sans recourir à aucune configuration supplémentaire.
C’est une fonctionnalité très importante qui est incluse dans la plupart des routeurs modernes.

Malheureusement, il peut arriver que certains routeurs mal configurés exposent leur interface de contrôle UPnP sur leur interface WAN à l’insu des utilisateurs. Les conséquences d’une telle faille de sécurité sont nombreuses: prise de contrôle à distance d’un réseau local, redirection du trafic interne, changement des paramètres par défaut du routeur, etc.

Une récente recherche conduite par Akamai démontre comment des cybercriminels abusent de cette faille de sécurité pour transformer des routeurs vulnérables en proxys dans le but de router leur trafic malicieux.

Pour détourner un routeur exposant son service UPnP, les pirates procèderaient par l’injection de routes malicieuses à l’intérieur des tables NAT des routeurs vulnérables.

Selon les experts d’Akamai, les pirates se seraient même se servir de cette faille pour créer un réseau de proxys afin de masquer l’origine de leurs opérations malicieuses (Campagnes de spam, sites de phishing, attaques DDOS, etc).

 

Cette expérience a permis à Akamai de découvrir plus de 4.8 millions routeurs exposant leurs services UPnP sur leur interface WAN dont 65000 déjà membres du réseau de proxy multifonctionnel.

 

Ce réseau de proxys serait lié à la menace Inception Framework qui a été exposée pour la première fois en 2014 par Symantec. Ce gang de criminels utilisait une faille sur le protocole UPnP pour créer un nuage de proxys dans le but masquer la provenance de leurs opérations.

Quelques semaines plutôt, Symantec indiquait que ce gang continuait d’opérer ces dernières années avec de nouvelles techniques.

Suite à leur recherche, les experts d’Akamai ont ainsi compilé une liste de 400 différents modèles de routeurs vulnérables.
Si vous retrouvez le modèle de votre appareil dans cette liste, il est recommandé de le remplacer immédiatement par un autre modèle ne figurant pas sur la liste.
Les experts ont mis à votre disposition un script Bash qui vous permettra de tester votre routeur.

 

Pour plus d’informations sur la vulnérabilité, la liste des routeurs vulnérables et le script Bash prière visiter le lien suivant: UPnProxy: Blackhat Proxies via NAT Injections.

mdestroy

Leave a Reply

Your email address will not be published. Required fields are marked *