Une campagne malveillante connue sous le nom de « Silence éternel » abuse de Universal Plug and Play (UPnP) transforme votre routeur en un serveur proxy utilisé pour lancer des attaques malveillantes tout en cachant l’emplacement des acteurs de la menace.
UPnP est un protocole de connectivité disponible en option dans la plupart des routeurs modernes qui permet à d’autres appareils sur un réseau de créer automatiquement des règles de transfert de port sur un routeur. Cela permet aux appareils distants d’accéder à une fonction logicielle ou à un appareil particulier selon les besoins, avec peu de configuration requise par un utilisateur.
Cependant, il s’agit d’une autre technologie qui troque la commodité contre la sécurité, en particulier lorsque l’implémentation UPnP est potentiellement vulnérable aux attaques permettant aux acteurs distants d’ajouter des entrées de redirection de port UPnP via la connexion WAN exposée d’un appareil.
Des chercheurs d’Akamai ont repéré des acteurs abusant de cette vulnérabilité pour créer des proxys qui cachent leurs opérations malveillantes, appelant l’attaque UPnProxy.
Sur 3 500 000 routeurs UPnP trouvés en ligne, 277 000 sont vulnérables à UPnProxy et 45 113 d’entre eux ont déjà été infectés par des pirates.
Une nouvelle famille d’injections
Les analystes d’Akamai pensent que les acteurs tentent d’exploiter EternalBlue (CVE-2017-0144) et EternalRed (CVE-2017-7494) sur des systèmes Windows et Linux non corrigés, respectivement.
L’exploitation de ces failles peut entraîner une série de problèmes potentiels, notamment des infections de cryptomineurs gourmandes en ressources, des attaques dévastatrices de type ver qui se propagent rapidement à l’ensemble des réseaux d’entreprise ou l’accès initial aux réseaux d’entreprise.
Les nouveaux ensembles de règles définis par les pirates contiennent l’expression « galleta silenciosa », qui signifie en espagnol « cookie silencieux ».
{"NewProtocol": "TCP", "NewInternalPort": "445", "NewInternalClient": "192.168.10.212",
"NewPortMappingDescription": "galleta silenciosa", "NewExternalPort": "47669"}
Les injections tentent d’exposer les ports TCP 139 et 445 sur les appareils connectés au routeur ciblé, soit environ 1 700 000 machines exécutant des services SMB.
Akamai n’est pas sûr du taux de réussite de cette campagne, mais a observé une approche systématique des analyses, ciblant les appareils qui utilisent des ports et des chemins statiques pour que leurs démons UPnP injectent des transferts de port.
Exploits éternels
Les analystes d’Akamai pensent que les acteurs tentent d’exploiter EternalBlue (CVE-2017-0144) et EternalRed (CVE-2017-7494) respectivement sur des systèmes Windows et Linux non corrigés.
L’exploitation de ces failles peut entraîner une série de problèmes potentiels, notamment des infections de cryptomineurs gourmandes en ressources, des attaques dévastatrices de type ver qui se propagent rapidement à l’ensemble des réseaux d’entreprise ou l’accès initial aux réseaux d’entreprise.
« Parce qu’il y a une possibilité décente que les machines (vulnérables) non affectées par la première série d’attaques EternalBlue et EternalRed n’étaient en sécurité que parce qu’elles n’étaient pas exposées directement à Internet. Elles se trouvaient dans un port relativement sûr vivant derrière le NAT « , explique Le rapport d’Akamai
« Les attaques EternalSilence suppriment entièrement cette protection implicite accordée par le NAT de l’équation, exposant peut-être un tout nouvel ensemble de victimes aux mêmes anciens exploits. »
Se défendre contre le silence éternel
‘Eternal Silence’ est une attaque très rusée car elle rend inefficace la pratique de la segmentation du réseau et ne donne aucune indication sur ce qui arrive à la victime.
La meilleure façon de déterminer si vos appareils ont été capturés est d’analyser tous les points de terminaison et d’auditer les entrées de la table NAT.
Il existe de nombreuses manières de procéder, mais Akamai a commodément fourni ceci script bash (capture d’écran ci-dessous), qui peut être exécuté sur une URL potentiellement vulnérable.
Si vous avez localisé un appareil compromis avec Eternal Silence, la désactivation de l’UPnP n’effacera pas les injections NAT existantes. Au lieu de cela, les utilisateurs devront réinitialiser ou flasher l’appareil.
De plus, l’application de la dernière mise à jour du micrologiciel doit être une priorité, car le fournisseur de l’appareil peut avoir corrigé les défauts d’implémentation UPnP via une mise à jour de sécurité.