Роутерлердің үштен бірі ашық UPnP-интерфейстері арқылы осал

UPnP-интерфейсі бар көптеген роутерлер зиянкестердің шабуылдарына осал және зиянды трафикті жасыруға арналған ботнетке енгізілуі мүмкін.

Мұндай шешімге Shodan көмегімен қолжетімді онлайн-құрылғыларды зерттеген Trend Micro АҚ-мамандары келді. Маршрутизаторлардан басқа ақылды теледидарлар, ойын консольдері және басқа да Интернет элементтері қауіпте, алайда оларда ашық порттардың пайызы айтарлықтай төмен.

Талдаушылар анықтағаны бойынша 76% роутерлер, 27% медиақұрылғылар және 19% ойын приставкалары ашық онлайн UpnP портына ие. Бұл киберқылмыскерлерге белгілі осалдықтар немесе дұрыс бапталмаған интернет-қолжетімділік арқылы жабдыққа шабуыл жасауға мүмкіндік береді. Shodan іздеу арқылы беру нәтижелері бойынша бүкіл әлемде осындай құрылғылардың 1,7 млн бірлігі табылды, олардың 200 мыңнан астамы Ресейде.

Жөнсіздікті ескірген UPnP-кітапханаларды қолдану қиындатады, олардың көпшілігінде зиянкестер қарулануға алған қауіпті осалдықтар бар. АҚ-мамандарының ақпараты бойынша, осал құрылғылардың 16% бағдарламалық жасақтамасы MiniUPnPd демонымен жұмыс істейді. Сонымен олардың төрттен бір бөлігі буфер толып кету қателіктері және басқада жөнсіздіктер табылған утилитаның бірінші нұсқасын пайдаланады. Кітапхананың өзекті нұсқасы БҚ жүйелік қол жетімді 5% ғана IoT-жабдықтантабылған.

Құрылғының тағы 18% Windows UPnP Server-мен жабдықталған, ол қашықтағы кодты орындауға мүмкіндік беретін CVE-2007-1204 осалдық болды, ал 20 құралдың бірі CVE-2012-5958 жеті жылдық қателікпен танымал Libupnp кітапханасын пайдаланады. Соңғы осалдық утилитаның 1.6.18 релизіне дейін барлық нұсқаларында бар және зиянкестерге зиянды UDP-пакетті жүйеге жіберіп, ерікті кодты орындауға мүмкіндік береді.

Өткен жылдын сәуір айында ашық UPnP-интерфейсі бар маршрутизаторлардан жасалған аса ірі ботнет туралы белгілі болды. АҚ-мамандары тапқан зиянды желі 65 мың құрылғыдан тұрады және қылмыстық белсенділікті жасыратын прокси-сервер ретінде қолданылды. Сарапшылардың анықтауынша, киберқылмыскерлер роутер сыртқы сұраныстарды олар көрсеткенIP-ге бағыттауы үшін желілік (NAT)мекенжайларын трансляциялау кестесін өзгертті.

Ақпарат көзі: threatpost.ru