Kwaadwillenden maken gebruik van een Universal Plug and Play (UPnP)-kwetsbaarheid in veelgebruikte thuisrouters om de SMB-poorten voor het internet te openen. Op die manier kunnen de achtergelegen machines in het netwerk worden belaagd. Volgens de Amerikaanse internetprovider Akamai zouden hierdoor 1,7 miljoen machines achter dergelijke routers mogelijk risico lopen.
De oorzaak van het beveiligingslek is gelegen in het feit dat de routers bepaalde diensten via hun WAN-interface voor het internet beschikbaar stellen. Eigenlijk zouden deze diensten alleen voor apparatuur op het LAN benaderbaar moeten zijn.
Network address translation
Via deze blootgestelde diensten kan een kwaadwillende Network Address Translation (NAT)-vermeldingen aan de router toevoegen. In sommige gevallen kan dan toegang verkregen worden tot apparatuur achter de router. Tevens kan een kwaadwillende ‘Internet-routable hosts’ in de NAT-tabel opnemen. De router dient dan als een proxy-server.
UPnP uitschakelen
Akamai heeft de kwetsbaarheid in het afgelopen voorjaar al bekendgemaakt, maar voegt daar nu aan toe dat kwaadwillenden poort 139 en 445 op de router kunnen openzetten. Microsoft Server Message Block (SMB) maakt gebruik van deze poorten. Volgens het bedrijf zijn er 277.000 routers met een kwetsbare UPnP-implementatie. Bij 45.000 routers daarvan zouden de SMB-poorten open zijn gezet. Gebruikers van een kwetsbare router wordt aangeraden om UPnP uit te schakelen. Akamai heeft een lijst online geplaatst met kwetsbare modellen.