Há cerca de seis meses atrás, pesquisadores da empresa Akamai relataram uma vulnerabilidade que, através do protocolo de rede Universal Plug and Play (UPnP), estava sendo usada por cibercriminosos para esconder tráfego e criar um sistema de proxy malicioso, que foi denominado como UPnProxy. No entanto, novas descobertas da empresa indicam que a vulnerabilidade está sendo explorada em novas campanhas maliciosas com o intuito de tentar afetar computadores sem patches que estão por trás do firewall do roteador, o que pode levar a ataques de infecção por malware, ransomware ou outro tipo de complicação tanto para usuários domésticos como para empresas.

Sobre a vulnerabilidade UpnProxy

O protocolo UPnP (Universal Plug and Play) é amplamente utilizado e permite que os dispositivos em uma rede, como um computador, impressora ou dispositivo móvel, entre outros, possam estabelecer uma comunicação funcional através do reconhecimento mútuo. No entanto, explica Akamai, ao longo dos últimos anos este protocolo tem apresentado falhas em uma ampla gama de dispositivos e tornou-se um vetor ativo que é usado atualmente para esconder o tráfego dos cibercriminosos através do uso de dispositivos vulneráveis como proxies.

Geralmente, os cibercriminosos usavam a vulnerabilidade UPnProxy para alterar as configurações da porta nos roteadores afetados, permitindo ofuscar e encaminhar tráfego malicioso que pode ser usado para realizar ataques DDoS ou propagar malware. Embora na maioria dos casos os computadores não tenham sido afetados porque estavam protegidos pelas regras NAT (Network address translation).

O uso dos exploits EternalBlue e EternalRed

No entanto, os pesquisadores explicam que os cibercriminosos estão usando dois exploits conhecidos para se esconder através do roteador e infectar computadores individuais na rede. Dessa forma, eles conseguem obter um espectro mais amplo de possíveis dispositivos para serem infectados, o que possibilita a criação de uma rede maliciosa. Esses exploits utilizados para o processo de injeção são: EternalBlue, o backdoor desenvolvido pela NSA para afetar computadores que usam Windows e EternalRed, um backdoor usado para dispositivos com Linux, também conhecido como SambaCry, e que tem sido usado por diversas campanhas de criptomineração.

Nos casos em que através da vulnerabilidade UPnProxy foi possível alterar a configuração de porta em um roteador vulnerável, a família de exploits Eternal estava direcionada para as portas usadas pelo Samba (SMB), formando um ataque que foi chamado de EternalSilence.De acordo com a empresa, existem cerca de 227.000 routeadores vulneráveis ​​à UPnProxy, dos quais cerca de 45.000 foram comprometidos em uma campanha que aproveitava injecção do NAT em UPnP e que pode ter deixado exposto um total de 1.7 milhões de máquinas ligadas a estes routeadores. Além disso, os pesquisadores acreditam que há um agente malicioso tentando comprometer milhões de computadores por trás dos roteadores vulneráveis, aproveitando-se dos exploits EternalBlue e EternalRed.

Caso você desconheça os ataques ocasionados pelo WannaCryptor e NotPetya, é importante lembrar que os patches para EternalBlue e EternalRed estão disponíveis há mais de um ano, e que apesar disso ainda existem muitos computadores sem o patch. De fato, em maio deste ano e após um ano do ataque provocado pelo WannaCryptor, ransomware que se aproveita do EternalBlue, pesquisadores da ESET descobriu que o exploit apresentava picos de atividade superiores aos que foram registrados em 2017, quando ocorreu a propagação do WannaCryptor.

Apesar de uma das principais recomendações seja atualizar rapidamente os computadores para instalar o patch contra os exploits EternalBlue e EternalRed, apenas instalar o patch e desativar o protocolo UPnP não são soluções definitivas. Segundo explicou Chad Seaman, da equipe da Akamai, ao site TechCrunch, na sua opinião, o roteador deve ser completamente substituído.