Hace aproximadamente seis meses atrás, investigadores de la firma Akamai reportaron una vulnerabilidad que permite abusar del protocolo de red Universal Plug and Play (UPnP) y que estaba siendo utilizada por atacantes para ocultar tráfico y crear un sistema de proxy malicioso, el cual denominaron UPnProxy. Sin embargo, nuevos hallazgos de la compañía indican que la vulnerabilidad sigue siendo explotada en nuevas campañas maliciosas intentando afectar computadoras sin parchear que estén detrás del firewall del router, lo que podría derivar en ataques de infección de malware, ransomware u otro tipo de complicación tanto para usuarios hogareños como para empresas.
Acerca de la vulnerabilidad UPnProxy
El protocolo UPnP (Universal Plug and Play) es ampliamente utilizado y permite que dispositivos conectados a una red, como una computadora, impresora o dispositivo móvil, entre otros, puedan establecer una comunicación funcional gracias al mutuo reconocimiento. Sin embargo, según explica Akamai, a lo largo de los últimos años este protocolo ha presentado implementaciones fallidas en un amplio rango de dispositivos y se convirtió en un vector activo que actualmente es utilizado para encubrir el tráfico de los atacantes mediante el uso de dispositivos vulnerables como proxies.
Generalmente, los atacantes utilizaban la vulnerabilidad UPnProxy para cambiar la configuración del puerto en los routers afectados, permitiendo ofuscar y encaminar tráfico malicioso que puede ser utilizado para realizar ataques DDoS o distribuir malware. Aunque en la mayoría de los casos las computadoras no eran afectadas porque estaban blindadas por las reglas NAT (Network address translation).
El uso de EternalBlue y EternalRed
Sin embargo, los investigadores explican que los atacantes están utilizando dos conocidos exploits para esconderse a través del router e infectar computadoras individuales en la red. De esta manera, obtienen un espectro más amplio de posibles dispositivos a infectar, lo que hace posible la creación de una red maliciosa. Estos exploits utilizados para el proceso de inyección son: EternalBlue, el backdoor desarrollado por la NSA para afectar a computadoras que utilizan Windows, y EternalRed, un backdoor utilizado para dispositivos con Linux, conocido también bajo el nombre de SambaCry, y que ha sido utilizada para numerosas campañas de criptominería.
En aquellos casos donde a través de la vulnerabilidad UPnProxy se logra modificar la configuración del puerto en un router vulnerable, la familia de exploits Eternal apuntan a los puertos utilizados por Samba (SMB), conformando un ataque que denominaron EternalSilence.
Según la compañía, existen unos 227,000 routers vulnerables a UPnProxy, de los cuales unos 45,000 han sido comprometidos en una campaña que aprovechaba inyección de NAT en UPnP y que expondrían a un total de 1.7 millones de máquinas conectadas a dichos routers. Además, los investigadores creen que existe un actor malicioso intentando comprometer millones de computadoras que estén detrás de los routers vulnerables aprovechándose de los exploits EternalBlue y EternalRed.
Por si alguien aún no lo sabe y desconoce en qué consistieron los ataques de WannaCry y NotPetya, es importante recordar que los parches para EternalBlue y EternalRed están disponibles desde hace más de un año, y que pese a eso aún continúan habiendo muchos equipos sin parchear. De hecho, en mayo de este año y tras haberse cumplido un año del brote de WannaCryptor, ransomware que se aprovechaba de EternalBlue, investigadores de ESET descubrieron que el exploit registraba picos de actividad superiores a los que se registraron en 2017 cuando se propagó WannaCryptor.
Si bien una de las principales recomendaciones es actualizar rápidamente los equipos para instalar el parche contra EternalBlue y EternalRed, la sola instalación del parche e incluso deshabilitar el protocolo UPnP no son soluciones definitivas. Según explicó Chad Seaman del equipo de Akamai al sitio TechCrunch, en su opinión se debe reemplazar completamente el router.
[social_warfare]
