Des chercheurs ont découvert des preuves que la compromission UPnProxy de routeur, découverte plus tôt en 2018, était désormais utilisée pour attaquer des ordinateurs sur des réseaux connectés au niveau des mêmes passerelles.
Pour rappel, UPnProxy est le nom donné par Akamai à une attaque contre un large éventail de routeurs utilisant des implémentations UPnP (Universal Plug and Play) vulnérables. On estime que cette attaque a infecté 65 000 routeurs sur une liste de cibles potentielles contenant 3,5 millions d’éléments.
UPnP est depuis longtemps une cible de choix pour les cybercriminels, avec UPnProxy exploitant ses imperfections afin de transformer des routeurs en serveurs proxy pour dissimuler du phishing, des attaques DDoS, des spams et du trafic venant de fraude au clic, derrière des adresses IP légitimes.
Les dernières recherches d’Akamai, datant de début novembre, suggèrent que les cybercriminels derrière UPnProxy ont eu une idée de génie : pourquoi ne pas utiliser la cartographie des ports UPnP pour attaquer les ordinateurs vulnérables du côté LAN du routeur ?
UPnProxy a évolué dans ce sens pour permettre d’attendre cet objectif en utilisant les tristement célèbres exploits EternalBlue (CVE-2017-0144) et EternalRed (CVE-2017-7494) pour cibler les machines utilisant des clients Windows SMB et Linux Samba sur les ports 145 et 449.
EternalSilence
En surnommant cette nouvelle attaque ‘EternalSilence’, l’entreprise a détecté des signes d’injection de cartographie de port sur au moins 45 000 routeurs parmi 277 000 encore vulnérables vis à vis de UPnProxy.
Toutefois, après avoir totalisé le nombre d’adresses IP connectées à ces routeurs, Akamai estime que le nombre d’ordinateurs exposés pourrait atteindre 1,7 million.
Le nombre final de victimes dépendra du nombre d’ordinateurs réellement vulnérables vis à vis de ces exploits.
En théorie, la plupart des ordinateurs auraient dû être patchés, mais ceux de priorité inférieure ne l’ont peut-être pas été, en partant sans doute du principe qu’ils n’étaient pas exposés à internet en raison du NAT (Network Address Translation) du routeur.
Chad Seaman d’Akamai a écrit :
Les attaques EternalSilence suppriment entièrement cette protection implicite accordée par le NAT, exposant éventuellement un nouvel ensemble de victimes à ces mêmes anciens exploits.
Il est utile de rappeler qu’EternalBlue (dérobé à la NSA) a été utilisé pour la première fois de manière dévastatrice lors des attaques WannaCry et NotPetya en 2017. Ces menaces ne sont donc pas banales !
Qui peut être affecté ?
La recherche visant UPnProxy menée par Akamai a estimé à 400 le nombre de modèles de routeurs utilisant un UPnP vulnérable, provenant de 73 entreprises différentes. Cela dit, le nombre réel de routeurs infectés reste encore relativement faible.
La probabilité d’être la cible d’UPnProxy et/ou d’EternalSilence dépend des facteurs suivants :
- Le protocole UPnP a-t-il été activé au niveau du routeur (y compris au cours de l’année écoulée) ?
- Les mises à jour régulières du firmware depuis son acquisition ont-elles été installées ?
- Les ordinateurs Windows qui se connectent via ce routeur ont-ils été patchés pour contrer EternalBlue en 2017 ? (ou EternalRed sous Linux ?)
Alors, que devriez-vous faire ? La première étape consiste à désactiver UPnP avant de mettre à jour la dernière version du firmware (ou d’acheter un nouveau routeur) et de vérifier que les correctifs Windows ou Linux concernant EternalBlue/EternalRed ont été installés.
Si un routeur semble être infecté (et il est très difficile pour un non-expert d’en être sûr), la situation se complique car le simple fait d’activer UPnP ne supprime pas les injections NAT existantes.
Dans ces cas, Akamai recommande de réinitialiser le routeur en le remettant dans sa configuration de départ (à savoir sortie d’usine) et de lancer une mise à jour permettant de disposer de la dernière version du firmware.
Rechercher des ordinateurs compromis par EternalSilence est plus compliqué :
Les administrateurs cherchant à obtenir une longueur d’avance peuvent effectuer un scan eux-mêmes afin de voir s’ils sont exposés vis-à-vis de ces vulnérabilités, notamment en analysant leur table NAT UPnP pour rechercher des anomalies.
Billet inspiré de Router attack exploits UPnP and NSA malware to target PCs, sur Sophos nakedsecurity.