هکرها به مسیریاب‌های خانگی نفوذ کردند

در ماه آوریل، هکرها از این تکنیک برای تبدیل مسیریاب‌ها به پراکسی‌هایی برای ترافیک عادی وب استفاده کردند. اما در گزارشی که Akamai منتشر کرده، نوع جدیدی از UPnProxy شناسایی شده که هکرها به‌وسیله آن سرویس‌های UPnP را به کار برده‌اند تا قوانین ویژه‌ای به جدول‌های NAT مسیریاب‌ها اضافه کنند. این قوانین همچنان به‌عنوان پراکسی کار می‌کنند، اما به هکرها اجازه می‌دهند به پورت‌های (۴۴۵ و ۱۳۹) SMB و دستگاه‌ها و رایانه‌های موجود در شبکه داخلی آن متصل شوند.  کارشناسان Akamai اعلام کرده‌اند هم‌اکنون ۵/ ۳میلیون دستگاه آسیب‌پذیر وجود دارند که حدود ۲۷۷ هزار مسیریاب دارای سرویس‌های UPnP آسیب‌پذیر هستند. اسکن‌هایAkamai نشان می‌دهد به حداقل ۴۵ هزار مسیریاب نفوذ شده است.  نفوذ به این مسیریاب‌ها، در مجموع ۷/ ۱میلیون سیستم منحصر به فرد را در معرض خطر قرار می‌دهد.

پژوهشگران مشاهده کرده‌اند که هکرها یک ورودی NAT با نام galleta silenciosa (به معنی silent cookie/ cracker در زبان اسپانیایی) در این ۴۵ هزار مسیریاب ایجاد کرده‌اند.  به نظر می‌رسد مهاجمان از آسیب‌پذیری‌های (EternalBlue (CVE-۲۰۱۷-۰۱۴۴ که از آژانس امنیت ملی آمریکا (NSA) به سرقت رفته و (EternalRed (CVE-۲۰۱۷-۷۴۹۴ که نسخه‌ای از EternalBlue است و از طریق Samba که سیستم‌های لینوکسی را آلوده می‌کند، استفاده کرده‌اند. Akamai این عملیات سایبری را EternalSilence نام‌گذاری کرده است.Akamai توصیه کرده که برای بازیابی و جلوگیری از این حملات، صاحبان دستگاه‌ها مسیریاب جدیدی تهیه کنند که دارای آسیب‌پذیری UPnP نباشند، یا در صورت آسیب‌پذیر بودن UPnP در دستگاه خود، آن‌را غیرفعال کنند.

غیرفعال کردن UPnP ورودی‌های تزریق‌شده بهNAT را پاک نمی‌کند، در نتیجه صاحبان مسیریاب‌ها باید آن‌را راه‌اندازی مجدد کنند یا آن‌را به تنظیمات کارخانه بازگردانند و سپس UPnP را به‌طور کامل غیرفعال کنند. همچنین به‌روزرسانی به آخرین نسخه Firmware نیز توصیه می‌شود. احتمال آلوده شدن سیستم‌های متصل به مسیریاب‌های آسیب‌پذیر نیز وجود دارد و باید ترافیک غیرمجاز در LAN سیستم‌های لینوکسی و ویندوزی که احتمالا با EternalBlue یا EternalRed آلوده شده‌اند، بررسی شود.