Operator botnet dan kelompok spionase cyber (APT) menyalahgunakan protokol Universal Plug and Play (UPnP) yang terdapat dalam semua router modern untuk memproyeksikan trafik buruk dan menyembunyikan lokasi sebenarnya dari penyelidik.
Dalam laporan yang diterbitkan pada hari Senin, Akamai mengungkapkan bahwa mereka mendeteksi aktor jahat menyalahgunakan setidaknya 65.000 router rumah untuk membuat jaringan proxy untuk berbagai jenis kegiatan rahasia atau ilegal.
Aktor jahat menyalahgunakan UPnP
Menurut Akamai, penyerang menyalahgunakan protokol UPnP, sebuah fitur yang membuatnya lebih mudah untuk melakukan interkoneksi perangkat berkemampuan lokal WiFi dan port serta layanan untuk Internet.
UPnP adalah layanan penting untuk sebagian besar router saat ini, tetapi protokol tersebut telah terbukti tidak aman lebih dari satu dekade yang lalu, dan pembuat malware telah menyalahgunakan berbagai kelemahan UPnP sejak saat itu.
Akamai mengatakan itu mendeteksi cara baru di mana aktor-aktor jahat baru-baru ini telah menyalahgunakan UPnP. Para ahli mengatakan bahwa aktor-aktor jahat telah menemukan bahwa beberapa router mengekspos layanan UPnP yang dimaksudkan untuk penemuan antar-perangkat melalui antarmuka WAN (Internet eksternal) mereka.
Penyerang memanfaatkan UPnP untuk menginjeksi NAT
Peretas telah menyalahgunakan layanan UPnP yang salah konfigurasi ini untuk menginjeksikan rute berbahaya di dalam tabel NAT (Network Address Translation) router, seperangkat aturan yang mengontrol bagaimana IP dan port dari jaringan internal router dipetakan ke jaringan di atas (biasanya Internet).
Aturan NAT kustom ini memungkinkan penyerang untuk terhubung ke IP publik router pada port tertentu, tetapi dialihkan secara otomatis ke kombinasi IP:port lain.
Dengan kata lain, kelemahan ini memungkinkan penyerang untuk menggunakan router dengan layanan UPnP yang salah dikonfigurasi sebagai server proxy untuk operasi mereka — karena alasan ini, Akamai memberi nama kode masalah ini UPnProxy.
Peretas dapat mengeksploitasi UPnProxy untuk melewati firewall dan mengakses alamat IP internal…
…atau menggunakan router untuk mengalihkan permintaan ke alamat IP atau nama domain yang benar-benar baru.
UPnProxy adalah kelemahan serius karena memungkinkan penyerang untuk mengakses panel masuk router yang biasanya tidak mengekspos backend mereka di Internet. UPnProxy akan mengalihkan permintaan untuk [public_IP]:[custom_port] ke panel backend router yang dihosting pada alamat IP internal yang dibatasi.
Router semacam itu, meskipun memiliki kredensial yang lemah, sebelumnya tidak rentan terhadap serangan brute force karena panel admin mereka lebih sulit (dan terkadang tidak mungkin) untuk dijangkau oleh penyerang di Internet. UPnProxy sekarang memungkinkan penyerang melakukan serangan brute force terhadap panel backend perangkat apa pun di jaringan internal.
UPnProxy disalahgunakan oleh setidaknya satu APT
Selain itu, karena UPnProxy dapat disalahgunakan untuk memantulkan trafik ke alamat IP lainnya, kelemahan ini dapat digunakan untuk membuat jaringan proxy yang terjalin yang mengarahkan trafik melalui puluhan atau ratusan IP sebelum mencapai tujuan akhir.
Fitur seperti itu dapat disalahgunakan untuk menutupi lokasi kampanye spam, halaman phishing, penipuan klik iklan, dan untuk serangan DDoS. Karena itu, UPnProxy sangat ideal untuk operator botnet, aktivitas yang terkait dengan cybercrime, tetapi juga untuk spionase cyber.
Dalam laporan terpisah, Symantec melaporkan melihat aktor yang disponsori negara dengan nama kode “Inception Framework” memanfaatkan teknik UPnProxy untuk menyembunyikan lokasi sebenarnya di balik cloud proxy.
Lebih dari 4,8 juta router berpotensi rentan
Akamai mengatakan mendeteksi lebih dari 4,8 juta router yang mengekspos berbagai layanan UPnP melalui antarmuka WAN. Dari jumlah tersebut, para ahli Akamai mengatakan mereka telah mengidentifikasi injeksi NAT aktif pada lebih dari 65.000 perangkat ini, yang berarti router ini telah dikompromikan dan secara aktif digunakan untuk mengalihkan trafik tanpa persetujuan atau pengetahuan pemilik perangkat.
Mengidentifikasi router yang disusupi atau rentan bukan merupakan operasi sepele kecuali pemilik perangkat dapat menemukan dan mengaudit tabel NAT router, tugas yang tidak dapat dijangkau oleh hampir 99,99% dari semua pemilik router.
Untuk membantu pengguna, Akamai telah menyusun daftar 400 model router dari 73 vendor yang mereka identifikasi sebagai pengekspos layanan UPnP melalui antarmuka WAN, dan yang mereka curigai mungkin rentan terhadap serangan UPnProxy.
Mencegah serangan UPnProxy akan membutuhkan upaya besar-besaran dari semua vendor yang terkena dampak. Ini akan berarti merilis pembaruan firmware yang memperbaiki konfigurasi UPnP untuk berhenti mengekspos layanan UPnP melalui antarmuka WAN. Sementara itu, satu-satunya saran yang Akamai dapat berikan adalah bahwa pengguna mengganti model router yang ada dengan yang tidak ditemukan dalam daftar mereka.
Selain itu, perusahaan juga menyediakan skrip Bash yang dapat mengidentifikasi router yang rentan atau aktif dieksploitasi, meskipun skrip ini tidak akan berguna kecuali pengguna tahu cara menyambung ke terminal router mereka melalui SSH, menjalankan dan menafsirkan hasil skrip Bash.
Daftar model router yang rentan, skrip Bash, dan penulisan teknis lengkap UPnProxy tersedia dalam laporan Akamai:Â https://www.akamai.com/us/en/multimedia/documents/white-paper/upnproxy-blackhat-proxies-via-nat-injections-white-paper.pdf
