Des attaquants exploitent des services UPnP mal configurés

Des cybercriminels tirent profit de plus de 65 000 routeurs exposés sur internet via le protocole UPnP (Universal Plug and Play) afin de s'en servir comme proxy et ainsi cacher leur réelle localisation.

UPnP est un protocole permettant d'interconnecter des appareils connectés au réseau local en WiFi et d'exposer des ports et services sur internet. Bien que pratique, UPnP est connu pour être peu sécurisé.

Des hackers exploitent des services UPnP mal configurés en y injectant des routes malveillantes dans les tables NAT (Network Address Translation). Les tables NAT contiennent des règles définissant comment les IP et ports des appareils du réseau local correspondent avec l'adresse IP et les ports exposés sur internet. Ainsi, les attaquants sont en mesure de se connecter sur les appareils connectés sur le réseau local de la cible. Spécifiquement, ils peuvent accéder au panneau de configuration des routeurs qui ne sont usuellement pas exposés sur internet.

De plus, les acteurs malveillants créent des "UPnProxy", c'est à dire des routes permettant de connecter des appareils d'un réseau local à ceux d'autres réseaux locaux. Ceci permet aux attaquants de faire transiter leur trafic internet via ces appareils infectés avant d'atteindre la destination finale. Cette technique permet de masquer l'origine géographique de campagnes de phishing, de spam et dénis de service distribués.

La liste des modèles de routeurs vulnérables est disponible dans la section "Affected Manufacturers/Models" du rapport publié par Akamai.