Pět let stará bezpečnostní díra v implementaci UPnP otevřela dveře botnetu BCMUPnP_Hunter. Po celém světě je infikováno více než sto tisíc zařízení, konkrétně jde o přinejmenším 116 modelů routerů s čipem Broadcom. Dotčena jsou i zařízení renomovaných značek, jako jsou Asus, Cisco, TP-Link, Zyxel, D-Link, Netgear a US Robotics.
Nedávno objevený malware, který odborníci označují jako neobvykle dobře napsaný, zneužívá kritické zranitelnosti ve firmwaru routerů. Odborníci z bezpečnostní analytické firmy Netlab 360 oznámili zjištění masové infiltrace koncem minulého týdne na oficiálním blogu. Jak a kde se botnet šíří můžete vidět na následujícím obrázku.
Jak a kde se botnet BCMUPnP_Hunter šíří
Botnet pojmenovali jako BCMUPnP_Hunter, přičemž název odkazuje na implementaci protokolů Universal Plug and Play implementovaných v čipových sadách Broadcom používaných v ohrožených zařízeních.
Pět let známá díra
Již v lednu 2013 odborníci z DefenseCode, zabývající se bezpečnostní analýzou a testováním webových, desktopových a mobilních aplikací, upozornili na vážnou zranitelnost v čipech Broadcom. Bezpečnostní trhlina umožňovala neověřenému útočníkovi vzdálené spuštění libovolného kódu s nejvyššími právy.
Původně byl problém zjištěn u směrovače Cisco WRT54GL, další výzkum odhalil stejnou chybu i u řady Cisco Linksys WRT54G3G a WRT310N. Následně se ukázalo, že dotčených zařízení bude daleko víc, protože zranitelná část firmwaru se vyskytovala v routerech mnoha dalších značek.
Odborníci tehdy e-mailem kontaktovali více než 200 různých výrobců routerů a snažili se je upozornit na závažnost problému. Jak ale sami konstatují ve své zprávě, nesetkali se s velkou odezvou. Počet potenciálně ohrožených zařízení odhadli na desítky milionů.
Zjištění společnosti Netlab 360 nyní jasně ukazuje, že mnoho zranitelných zařízení dosud funguje, aniž by pro ně byla vydána záplata nebo alespoň zajištěna jejich bezpečnost jinými prostředky.
Dotčeno je 116 modelů
Součástí zprávy je také kompletní seznam, obsahující aktuálně 116 routerů, jež jsou v současnosti zranitelné tímto typem útoku. Router je v případě úspěšného napadení zapojen do sítě podobně postižených zařízení a plní pokyny zadané útočníky. Síťová zařízení jsou pak zneužívána například k odesílání nevyžádané pošty nebo jiných typů škodlivých zpráv přes řadu známých e-mailových služeb.
Protokol UPnP (Universal Plug and Play) slouží k jednoduchému připojení periferních součástí počítače a zjednodušení zavádění sítí v domácnostech. Jedná se o distribuovanou otevřenou technologii založenou na standardech jako jsou TCP/IP, UDP, HTTP a XML.
Odborníci před touto technologií varují například s tím, že v některých případech chyby způsobují, že zařízení reagují na požadavky na zjišťování odeslané z jiné sítě. Hackeři tak mohou využívat nedostatky způsobem, který jim umožňuje převzít kontrolu nad zařízením. Slabiny UPnP mohou také umožnit hackerům obcházet ochranu firewallem.
Jak útočí BCMUPnP_Hunter
Interakce mezi botnetem a potenciálním cílem sestává z několika kroků. Začíná skenováním TCP portu 5431, poté je cíl kontaktován na UDP portu 1900. Očekává se, že router odešle správnou zranitelnou adresu. V následujícím grafu můžete vidět trend skenování portu 5431 v posledních třiceti dnech.
Trend skenování portu 5431 v posledních třiceti dnech
Po získání správné adresy provede útočník další čtyři výměny paketů, aby zjistil, kde je adresa pro spouštění kódu. Touto cestou pak provede nahrání a spuštění svého kódu do paměti routeru. Celý proces útoku můžete vidět na následujícím diagramu.
Proces útoku na routery s čipem Broadcom
Uživatelům, kteří používají některý ze 116 postižených modelů, Netlab 360 doporučuje okamžitě zkontrolovat, zda není k dispozici bezpečnostní záplata. V případě negativního výsledku je za nejvhodnější řešení považována výměna routeru za jiný, který tuto chybu neobsahuje.
I u ostatních zařízení odborníci doporučují zvážit možnost vypnutí UPnP. V případech, kdy je podpora tohoto protokolu z nějakého důvodu nezbytná, mají uživatelé vzít na vědomí a převzít zodpovědnost za zvýšené riziko, které tím podstupují.