Según el último informe de Akamai, parece que los malos actores están abusando de más de 65, 000 enrutadores para crear redes proxy para actividades secretas o incluso ilegales. Akamai es un proveedor estadounidense de servicios de red y entrega de contenido en la nube. Los operadores de botnets y los grupos de ciberespionaje abusan del protocolo Universal Plus y Play. UPnP viene con todos los enrutadores modernos, y el objetivo de los malos actores es proxy del mal tráfico y ocultar la ubicación real.

UPnP es el objetivo en estos días

Los atacantes abusan del protocolo UPnP, y esta es una característica esencial porque hace que sea más fácil interconectar dispositivos locales con Wi-Fi y reenviar puertos y servicios a la web. El protocolo es vital para los enrutadores modernos, pero su inseguridad se demostró hace más de diez años. Los atacantes lo han estado abusando desde entonces, y ahora parece que hay una nueva forma de hacerlo. Los malos actores han descubierto que enrutadores particulares exponen los servicios del protocolo que están destinados solo para el descubrimiento entre dispositivos.

El nombre en clave del defecto es UPnProxy

Los atacantes han estado abusando de estos enrutadores para inyectar malware en sus tablas de traducción de direcciones de red. La falla permite a los atacantes usar enrutadores con servicios UPnP mal configurados como servicios proxy para sus propias operaciones secretas e ilegales. La debilidad es significativa porque los ciberdelincuentes pueden iniciar sesión en enrutadores que exponen su back-end en la web.

Los piratas informáticos pueden explotarlo para evitar los cortafuegos y acceder a las direcciones IP para devolver el tráfico a otras direcciones IP. Esto se puede usar para enmascarar las ubicaciones reales de páginas de phishing, campañas de spam, fraude de clics publicitarios y más "golosinas" similares.

Hallazgos y soluciones de Akamai

El número de enrutadores vulnerables que Akamai detectó es de alrededor de 4.8 millones y los expertos han descubierto inyecciones NAT activas en más de 65, 000 dispositivos. Akamai también creó una lista de 400 modelos de enrutadores hechos por 73 proveedores que actualmente son vulnerables. Se aconseja a los usuarios que reemplacen sus enrutadores con modelos que no tengan la vulnerabilidad. Akamai también lanzó un script Bash que tiene la capacidad de identificar enrutadores vulnerables.