Eternal Silence: oltre 45000 dispositivi compromessi tramite UPnP

05/12/2018

Eternal Silence UPnP UPnProxy

Recentemente, come riportato da Akamai, sono emersi tentativi di sfruttamento delle vulnerabilità nei servizi UPnP spesso inclusi nei più comuni router. Infatti UPnP (Universal Plug and Play) è un protocollo, basato su un’architettura aperta e distribuita, che è stato progettato per semplificare la connessione fra dispositivi e host remoti.

Secondo il report ci sono 277,000 apparati su 3.5 milioni che adottano implementazioni UPnP vulnerabili, tra questi 45.000 sono stati compromessi tramite campagne di “NAT Injection” che hanno permesso di alterare le tabelle NAT (Network Address Translation) degli apparati quindi dirottare traffico secondo le impostazioni dettate degli attaccanti. L’attacco individuato, denominato “Eternal Silence“, permette di alterare le regole negli apparati che permettono dei reindirizzamenti proxy (UPnProxy) quindi instradare il traffico di un utente malintenzionato a proprio piacimento.

Dallo stesso report emerge che, a partire dal 7 novembre, i ricercatori di Akamai hanno individuato la famiglia malware soprannominata Eternal Silence nome assegnato per il riferimento rilevato in alcune tracce e descrizioni lasciate dagli attaccanti. Al momento non sono noti i particolari sulle modalità che permettono l’attacco ai router ma Akamai ritiene che gli attaccanti possano aver utilizzato gli exploit EternalBlue e EternalRed. Quindi, se confermato, potrebbe trattarsi di parti o varianti del codice malevolo, sviluppato dall’agenzia di sicurezza nazionale degli Stati Uniti NSA, che ha permesso i famigerati attacchi ransomware legati a WannaCry e Petya.

Stando alle informazioni diramate da Akamai globalmente sono circa 1,7 milioni i dispositivi informatici potenzialmente esposti alla vulnerabilità indicata.

Di seguito, a titolo di esempio, un’immagine sull’utilizzo dei servizi UPnP che risultano attivi in Italia:

Possibili impatti

I dispositivi coinvolti con successo da un attacco possono essere in balia degli aggressori e i gestori, a meno di specifiche verifiche, potrebbero non accorgersi della compromissione. Tramite l’alterazione della configurazione delle tabelle gli attaccanti tentano di esporre le porte TCP 139 e 445 dei dispositivi che si trovano nella rete interna, dietro al router. Ciò, in seconda battuta, può determinare specifici attacchi a questi sistemi. Inoltre, a seconda delle preferenze degli aggressori, i dispositivi compromessi potrebbero essere utilizzati in una serie di attività malevoli come spam, phishing, frodi web basate sul clic (click fraud) e attacchi DDoS.

Contromisure

Per prevenire un attacco, i proprietari dei dispositivi possono acquistare un nuovo router che non utilizza implementazioni UPnP vulnerabili. Per fare fronte all’attacco è possibile inoltre disabilitare, se non strettamente necessario, il servizio UPnP sui propri router o di adottare versioni con UPnP non vulnerabile.

Negli apparati compromessi la disattivazione di UPnP potrebbe non eliminare le alterazioni esistenti alla tabella di NAT, pertanto i proprietari dei dispositivi dovrebbero anche prendere in considerazione l’ipotesi di riavviare il router stesso o eventualmente ripristinare le impostazioni di fabbrica originali avendo cura di riconfigurare il dispositivo disabilitando completamente UPnP. Si consiglia inoltre di verificare la disponibilità di aggiornamenti del firmware, poiché alcuni produttori potrebbero nel frattempo aver rilasciato correzioni per risolvere questo problema.

Esiste la possibilità che le macchine all’interno della rete, esposte a seguito degli attacchi, possano essere state compromesse. In tal caso il ripristino del router non sarà sufficiente a scongiurare il peggio ed è pertanto consigliabile controllare il traffico lato LAN, in particolare quello TCP indirizzato sulle porte 139 e 445, verso sistemi con versioni di Windows o Linux vulnerabili a EternalBlue (CVE-2017-0144) o EternalRed (CVE-2017-7494).