By | April 13, 2018

לחוקרים Akamai האבטחה דיווח כי proxy רב תכליתי botnet יש לכוד בלמעלה מ-65,000 נתבים, נחשפים לאינטרנט דרך Universal Plug Play (UPnP) פרוטוקול.

המומחים מצא כי המכשירים פגיעה יש זריקות NAT ומאפשר האקרים התעללו בהם למטרות שונות כמו שליחת דואר זבל, דיוג, חשבון השתלטות הונאת כרטיס אשראי, לחץ על הונאה, הפצת תוכנות זדוניות, מבוזרת למניעת שירות (DDoS) התקפות, תוך עקיפת הצנזורה, וכו ‘

על פי Akamai, ההתקנים מוזרק 65,000 הם חלק ממערכת גדולה יותר של למעלה מ- 4.8 מיליון מכשירים לפגיע שאילתות UDP SSDP (החלק UDP UPnP) פשוטה.

חברת הביטחון טוענת כי כ 765,000 המכשירים נמצאו גם לחשוף שלהם מימושים חשוף TCP.

חלק גדול של המכשירים מושפעים הן לצרכן-ציונים חומרת הרשת שמקורם מותגים 73 / יצרנים. כ-400 דגמים הופיע להיות פגיע, עם זאת, הדו ח Akamai חושף כי יצרני והתקנים אחרים עשויה להיות מושפעת גם יישומי UPnP פגיע.

המטרה העיקרית של פרוטוקול UPnP היא לאפשר תקשורת טובה יותר בין התקנים ברשת מקומית, עם זאת, זה הוא גם רב ידוע להיות פגיע.

למעשה, מימושים פגומה נחשפו במשך למעלה מעשור, עם דוח 2013 חושף עשרות מיליוני מכשירים פגיע מהאינטרנט.

פרוטוקול UPnP מאפשר משא ומתן אוטומטי וקביעת תצורה של נמל opening/ העברה בתוך סביבת רשת NATed, מה שאומר כי ההתקנים ברשת באפשרותך לפתוח יציאות כדי לזרז את ניתוב התעבורה בתוך ומחוץ לרשת. אולם, חלק מהשירותים חשוף זכה לכבוד, יכול לשמש רק על-ידי התקנים מהימן ב- LAN.

בין המכשירים פגיע, זריקות NAT זדוני אשר מהווים חלק קמפיין מאורגן ונפוץ התעללות. הפונקציה העיקרית של זריקות אלה היא להפוך נתבים פרוקסי, מה שגרם המומחים קוראים את ההתקנים מוזרק UPnProxy.

הערכים NAT מוזרק נוצרו כדי להיות עובד ערכות התקנים שונים. מסיבה זו, על פני ההתקנים נגוע 65,000, החוקרים גילו כתובות ה-IP של נקודת קצה ייחודי 17,599.

ה-IP המזוהים ביותר הוזרק מעל 18.8 מיליון פעמים על פני מכשירים 23,286, בעוד ה-IP השני-הכי-מוזרק הופיעו מעל 11 מיליון פעמים על פני מכשירים 59,943.

הפונקציות העיקריות של הזריקות כדי להצביע על מספר שירותים ושרתים ברחבי האינטרנט, רובם ממוקד יציאות TCP 53 (15.9M עבור DNS), 80 (9.5M עבור HTTP), ו- 443 (155 אלף ב- HTTPS).

לפי Akamai, proxy רב תכליתי של botnet קשורה ככל הנראה השחקן איום למסגרת הקמתה, שנחשף לראשונה בשנת 2014. החבורה סייבר נצפתה קודם לכן לעבר שגרירויות, מגזרים אנרגיה והגנה, ארגונים בתחומי הביטחון, התעופה והחלל, מחקר ומדיה Consultancy/.

מוקדם יותר השנה, סימנטק דיווח למסגרת הקמתה המשיכה לפעול במהלך השנים האחרונות, שינוי שלה כלים וטכניקות.

בנוסף, Symantec אמר כי החבורה סייבר התעלל לאינטרנט של דברים התקנים להסתתר מאחורי פרוקסי, מינוף פרוטוקול UPnP לחטוף נתבים פגיע.

Leave a Reply

Your email address will not be published. Required fields are marked *