Исследователи из Akamai Technologies обнаружили 65-тысячный ботнет на роутерах, используемый для проксирования трафика с целью сокрытия вредоносной активности.

Пользуясь тем, что у множества роутеров сервис UPnP неправильно сконфигурирован и доступен через WAN-интерфейс, злоумышленники модифицируют таблицы трансляции сетевых адресов (NAT), и приобщенное к ботнету устройство начинает работать как прокси-сервер, перенаправляя внешние запросы на указанный ими IP-адрес.

Широко используемый набор сетевых протоколов UPnP (Universal Plug and Play) облегчает обнаружение устройств и сервисов в локальной сети, позволяя автоматизировать их настройку и подключение друг к другу для совместной работы. UPnP также обеспечивает управление NAT-транслятором: пока эта служба включена, все изменения в таблице соответствия портов и IP-адресов производятся автоматически.

В силу специфики использования UPnP не предполагает аутентификации и при наличии ошибок в конфигурации или незакрытых уязвимостей может открыть доступ к устройствам во внутренней сети — в обход брандмауэра. В данном случае ботоводы, по свидетельству Akamai, используют сразу несколько известных проблем с UPnP — прежде всего возможность внедрять новые записи в таблицы NAT через интернет-доступ к привилегированной службе.

Расследование обнаружило злонамеренные NAT-инъекции примерно на 65 тыс. сетевых устройств; эксперты также идентифицировали 17,6 тыс. уникальных IP-адресов, на которые уязвимые роутеры перенаправляли входящие пакеты. В 450 случаев конечной точкой маршрута оказался почтовый сервер, что может указывать на проксирование трафика для спамеров.

Используемый с этой целью ботнет вполне способен надежно скрыть истинные источники спам-рассылок, накрутки рекламных кликов, раздачи зловредов, DDoS-атак. При этом пользователь устройства, которое входит в состав ботнета, проксирующего трафик для авторов подобных киберкампаний, не заметит ничего подозрительного. Внутренняя сеть будет функционировать в нормальном режиме, а принимаемые пакеты тут же отправятся далее в пункт назначения.

Злоупотребление в данном случае может выявить только сканирование конечного устройства и проверка записей в NAT-таблицах. По словам экспертов, в этом могут помочь специализированные фреймворки и библиотеки, доступные на рынке в разноязычных версиях.

В Akamai был написан простейший bash-скрипт, позволяющий проводить проверку сетевых устройств на уязвимость к NAT-инъекциям. По итогам тестирования создан список из 400 моделей от 73 производителей, которые потенциально могут входить в состав обнаруженного ботнета.

Если уязвимость устройства доказана, Akamai советует заменить его или как минимум отключить UPnP, хотя это будет помехой онлайн-играм и мультимедийным потокам. Удаление чужеродных записей NAT воспрепятствует использованию роутера в качестве прокси, но не предотвратит новые инъекции. Производителям, по мнению экспертов, следует перестать включать UPnP на внешних интерфейсах, а интернет-провайдерам и операторам сотовой связи не стоит разрешать в своих сетях передачу по протоколам, предназначенным для использования лишь в доверенных средах — таких как LAN.

Категории: Аналитика, Главное, Уязвимости