Laut dem neuesten Bericht von Akamai scheinen schlechte Schauspieler mehr als 65.000 Router zu missbrauchen, um Proxy-Netzwerke für geheime oder sogar illegale Aktivitäten einzurichten. Akamai ist ein amerikanischer Content Delivery Network- und Cloud-Dienstleister. Das Universal Plus and Play-Protokoll wird von Botnetzbetreibern und Cyberspionagegruppen missbraucht. UPnP kommt bei allen modernen Routern zum Einsatz, und das Ziel der schlechten Darsteller ist es, schlechten Datenverkehr zu vertreten und den tatsächlichen Standort zu verbergen.

UPnP ist heutzutage ein Ziel

Das UPnP-Protokoll wird von Angreifern missbraucht. Dies ist ein wesentliches Merkmal, da es die Verbindung lokaler Geräte mit Wi-Fi erleichtert und Ports und Dienste an das Web weiterleitet. Das Protokoll ist für moderne Router von entscheidender Bedeutung, aber seine Unsicherheit wurde vor mehr als zehn Jahren bewiesen. Angreifer haben es seitdem missbraucht, und jetzt scheint es eine brandneue Art zu geben, wie sie dies tun. Schlechte Akteure haben festgestellt, dass bestimmte Router die Dienste des Protokolls verfügbar machen, die nur für die Erkennung zwischen Geräten vorgesehen sind.

Der Codename des Fehlers lautet UPnProxy

Angreifer haben diese Router missbraucht, um Malware in ihre Tabellen zur Netzwerkadressübersetzung einzuschleusen. Der Fehler ermöglicht es Angreifern, Router mit falsch konfigurierten UPnP-Diensten als Proxy-Dienste für ihre eigenen geheimen und illegalen Vorgänge zu verwenden. Die Schwäche ist erheblich, da sich Cyberkriminelle bei Routern anmelden können, die ihr Backend im Web verfügbar machen.

Hacker können es ausnutzen, um Firewalls zu umgehen und auf IP-Adressen zuzugreifen, um Datenverkehr an andere IP-Adressen weiterzuleiten. Dies kann verwendet werden, um die tatsächlichen Standorte von Phishing-Seiten, Spam-Kampagnen, Klickbetrug und ähnlichen "Goodies" zu maskieren.

Akamais Erkenntnisse und Lösungen

Die Anzahl der von Akamai erkannten oder verwundbaren Router liegt bei 4, 8 Millionen. Experten haben aktive NAT-Injektionen auf mehr als 65.000 Geräten entdeckt. Akamai erstellte auch eine Liste mit 400 Routermodellen von 73 Anbietern, die derzeit gefährdet sind. Benutzern wird empfohlen, ihre Router durch Modelle zu ersetzen, die diese Sicherheitsanfälligkeit nicht aufweisen. Akamai hat auch ein Bash-Skript veröffentlicht, mit dem anfällige Router identifiziert werden können.