Già nel 2018 Akamai, provider di servizi CDN leader del settore, aveva segnalato il problema: i criminali informatici abusano delle vulnerabilità scoperte nel protocollo di rete UPnP (Universal Plug and Play) per trasformare router aziendali e domestici in proxy da sfruttare per lanciare attacchi verso terzi o per diffondere minacce all’intero delle reti locali altrui.
Abbiamo visto cos’è UPnP e perché il consiglio è quello di disattivarlo immediatamente dall’interfaccia del router.
UPnP è infatti un protocollo che baratta la sicurezza per la comodità: esso consente ad applicazioni e servizi in esecuzione nella LAN di aprire porte in ingresso sul router senza che ci sia bisogno di configurare regole di port forwarding.
Sebbene ciò aiuti gli utenti meno esperti, l’inoltro di porte senza che l’utente sia consapevole di ciò che sta succedendo può aprire voragini in termini di sicurezza ed esporre dati riservati all’azione di utenti remoti.
Tra le operazioni per rendere sicuro il router annoveriamo quindi la disattivazione di UPnP.
Il problema, come osserva anche Akamai, è che alcuni router espongono UPnP sull’interfaccia WAN tanto che alcuni utenti si ritrovano porte aperte in ingresso. In questo documento di supporto Akamai richiama l’attenzione sui router maggiormente vulnerabili ed esorta gli utenti a verificare e installare versioni del firmware per il router più aggiornate. Di solito, infatti, i produttori correggono l’errore e rimuovono UPnP dalla porta WAN.
Akamai spiega però di aver rilevato ad oggi circa 277.000 router su un totale di 3,5 milioni analizzati che utilizzano implementazioni vulnerabili del protocollo UPnP.
Gli attacchi rivolti a questi dispositivi sono stati battezzati Eternal Silence perché nella maggior parte dei casi i criminali informatici sfruttano vulnerabilità irrisolte nel protocollo SMB/Samba per via della mancata applicazione delle patch correttive: EternalBlue (CVE-2017-0144) ed EternalRed (CVE-2017-7494).
Sfruttando l’esposizione di UPnP sul router gli aggressori creano nuove regole di port forwarding nel tentativo di accedere alle risorse condivise tramite l’uso delle porte locali TCP 139 e 445. Una volta individuati sistemi locali aggredibili, i malintenzionati possono eseguire codice nocivo e muoversi lateralmente nell’ambito delle reti locali delle vittime.
Verificare lo stato di UPnP, installare gli aggiornamenti del firmware per il router (controllando che il dispositivo sia sempre supportato dal produttore) ed esaminare periodicamente le regole di port forwarding impostate sono il miglior modo per proteggersi da qualunque attacco.