Una campaña maliciosa conocida como «Eternal Silence» está abusando de los protocolos Universal Plug and Play (UPnP) comprometiendo su enrutador y convirtiéndolo en un servidor proxy utilizado para lanzar ataques maliciosos. El objetivo es aprovechar vulnerabilidades ya existentes (EternalBlue y EternalRed) en dispositivos finales a través de una amplia red de routers vulnerables, con el objetivo de acceder a dichos dispositivos que se encuentran detrás de la red NAT.
Existe una posibilidad de que las máquinas que no se vieron afectadas por la primera ronda de ataques EternalBlue y EternalRed hayan permanecido a salvo sólo porque no estuvieron expuestas directamente a Internet.
Los ataques de Eternal Silence eliminan por completo esta protección implícita otorgada por la NAT, lo que posiblemente exponga a un conjunto completamente nuevo de víctimas a los mismos exploits antiguos.
La mejor manera de determinar si sus dispositivos han sido vulnerados es escanear todos los dispositivos finales (dentro de la NAT) y verificar sus entradas de la tabla NAT. Para ello se ha diseñado un script bash de ejemplo que se puede encontrar en la siguiente página:
Se recomienda seguir los siguientes pasos:
- Asegurarse de que el protocolo UPnP se encuentre deshabilitado en un dispositivo vulnerable.
- Buscar actualizaciones de firmware, ya que algunos fabricantes pueden haber publicado soluciones para este problema y aquí se presentan algunas guías de las marcas más relevantes:
- Verificar el tráfico de la LAN, especialmente si existen máquinas que poseen versiones de Windows o Linux que podrían verse comprometidos por EternalBlue o EternalRed.
Referencias:
- https://securityaffairs.co/wordpress/127435/hacking/eternal-silence-upnproxy-attacks.html?utm_source=rss&utm_medium=rss&utm_campaign=eternal-silence-upnproxy-attacks
- https://www.techtosee.com/277000-routers-exposed-to-eternal-silence-attacks-via-upnp/
- https://www.akamai.com/blog/security/upnproxy-eternal-silence