Hơn 65.000 router bị lạm dụng bởi đa năng Proxy Botnet

Computer Security News

Các nhà nghiên cứu an ninh Akamai báo cáo một proxy đa mục đích botnet có ensnared hơn 65.000 router tiếp xúc với Internet thông qua trình Universal Plug và giao thức chơi (UPnP).

Các chuyên gia tìm thấy rằng các thiết bị dễ bị tổn thương có tiêm NAT cho phép hacker để lạm dụng chúng cho các mục đích khác nhau như gửi thư rác và thư lừa đảo, tiếp quản tài khoản và thẻ tín dụng gian lận, click gian lận, phần mềm độc hại phân phối, phân phối từ chối dịch vụ (DDoS) cuộc tấn công, bỏ qua sự kiểm duyệt, vv

theo Akamai, các thiết bị tiêm 65.000 là một phần của một bộ lớn hơn của 4.8 triệu thiết bị dễ bị tổn thương đơn giản SSDP UDP (UDP phần UPnP) yêu cầu.

Công ty bảo mật tuyên bố khoảng 765,000 các thiết bị cũng đã được tìm thấy vạch trần của họ triển khai TCP dễ bị tổn thương.

Một phần rất lớn của các thiết bị ảnh hưởng là người tiêu dùng cấp phần cứng mạng đến từ thương hiệu 73 / nhà sản xuất. Mô hình 400 dường như là dễ bị tổn thương, Tuy nhiên, báo cáo của Akamai cho thấy rằng các nhà sản xuất hoặc thiết bị nào khác có thể cũng bị ảnh hưởng bởi triển khai UPnP dễ bị tổn thương.

Mục đích chính của các giao thức UPnP là để cho phép giao tiếp tốt hơn giữa các thiết bị trên một mạng LAN, Tuy nhiên, nó cũng long được biết đến là dễ bị tổn thương.

Trên thực tế, việc triển khai thiếu sót đã tiếp xúc cho hơn một thập kỷ, với một báo cáo năm 2013 tiết lộ hàng chục triệu của các thiết bị dễ bị tổn thương trên Internet.

Giao thức UPnP cho phép tự động đàm phán và cấu hình của cổng opening/ chuyển tiếp trong một môi trường mạng NATed, có nghĩa là các thiết bị trên mạng có thể mở cổng để tiến hành định tuyến giao thông trong và ngoài mạng. Tuy nhiên, một số các dịch vụ tiếp xúc được đặc quyền và có thể được sử dụng chỉ bởi các thiết bị đáng tin cậy trên mạng LAN.

Trong số các thiết bị dễ bị tổn thương là độc hại NAT tiêm là một phần của một chiến dịch lạm dụng tổ chức và phổ biến rộng rãi. Chức năng chính của những tiêm là chuyển router thành proxy, mà làm cho các chuyên gia gọi thiết bị tiêm UPnProxy.

Mục NAT tiêm được tạo ra để làm việc trong bộ trên nhiều thiết bị. Vì lý do đó, trên các thiết bị bị nhiễm 65.000, các nhà nghiên cứu đã phát hiện ra 17.599 các địa chỉ IP duy nhất điểm cuối.

Hầu hết xác định IP đã được tiêm hơn 18.8 triệu lần trên thiết bị 23,286, trong khi thứ hai-nhất-tiêm IP xuất hiện trên 11 triệu lần trên thiết bị 59,943.

Các chức năng chính của việc tiêm là điểm đến nhiều dịch vụ và các máy chủ trên Internet và hầu hết họ nhắm mục tiêu theo cổng TCP 53 (15.9M cho DNS), 80 (9.5M cho HTTP) và 443 (155 K cho HTTPS).

Theo Akamai, đa mục đích proxy botnet là nhiều khả năng liên quan đến diễn viên đe dọa lập khuôn khổ mà lần đầu tiên được tiếp xúc trong năm 2014. Băng đảng cyber trước đó đã được quan sát nhắm mục tiêu đến đại sứ quán, lĩnh vực năng lượng và quốc phòng, các tổ chức trong lĩnh vực an ninh, hàng không, nghiên cứu, và phương tiện truyền thông Consultancy/.

Đầu năm nay, Symantec báo cáo rằng khuôn khổ đời đã tiếp tục hoạt động trong những năm qua, việc thay đổi công cụ và kỹ thuật của nó.

Ngoài ra, Symantec cho các băng đảng cyber lạm dụng Internet của những điều cần thiết bị để ẩn đằng sau proxy, tận dụng các giao thức UPnP cướp định tuyến dễ bị tổn thương.


Leave a Reply

Your email address will not be published. Required fields are marked *