En sårbarhed (CVE-2020-12695) i Universal Plug and Play (UPnP), der er gennemført i milliarder af netværk og enheder, tingenes internet – pc ‘ er, printere, mobile enheder, routere, gaming konsoller, Wi-Fi-adgangspunkter, og så videre – kan tillad ikke-godkendt, fjernangribere at exfiltrate data, scanne interne netværk, eller gøre det udstyr, deltage i DDoS-angreb.,
om UPnP
UPnP er et sæt netværksprotokoller, der gør det muligt for netværksenheder automatisk at opdage og interagere med hinanden, når de er på det samme netværk.
UPnP er primært beregnet til bolig-og SOHO trådløse netværk. Det er designet til at blive brugt i et betroet lokalnetværk (LAN), og protokollen implementerer derfor ikke nogen form for godkendelse eller verifikation. Det er en af grundene til, at nogle UPnP-enheder leveres med protokollen slået fra som standard, og det er på administratorer at aktivere det, hvis det er nødvendigt.,
udviklingen af UPnP-protokollen administreres af Open Connectivity Foundation (OCF), en standardiseringsorganisation, hvis mål er at fremme interoperabiliteten mellem tilsluttede enheder.
Om sårbarheden (CVE-2020-12695)
CVE-2020-12695 (aka “CallStranger”) blev opdaget af sikkerhedsekspert Yunus Çadırcı og privat rapporteret til OFC i slutningen af 2019.,
” sårbarheden ( … ) er forårsaget af tilbagekald header værdi i UPnP abonnere funktion kan styres af en hacker og muliggør en ssrf-lignende sårbarhed, som påvirker millioner af Internet vender og milliarder af LAN-enheder, “adadrcrc.forklaret.
Mere tekniske detaljer er til rådighed her, men kort sagt, den sårbarhed, som kan bruges til at omgå DLP og netværk sikkerhedsudstyr til exfiltrate data, scanne interne porte, og tvinge millioner af Internet-står over for UPnP-enheder, til at blive en kilde til forstærket afspejles TCP DDoS.
hvad nu?,
Open Connectivity Foundation rettede sårbarheden og opdaterede UPnP-specifikationen den 17.April 2020. De kontaktede også nogle berørte leverandører (dem, der er inkluderet iadadrcrc .s rapport).en Shodan-søgning viser, at der er omkring 5,5 millioner Internetvendte enheder med UPnP aktiveret derude.
Blandt de bekræftede sårbare enheder er computere, der kører Windows 10, Xbox, Belkin WeMo home automation-udstyr, printere fremstillet af Canon, HP og Epson, Samsung smart Tv, routere og modemmer produceret af Broadcom, Cisco, D-Link, Netgear, Zyxel, og meget mere., CMU ‘ s Soft .are Engineering Institute har også offentliggjort en sårbarhedsnote for CVE-2020-12695 og opdaterer den for at liste berørte enheder og links til tilgængelige patches. De har også bemærket, at det generelt bør undgås at gøre UPnP tilgængelig via Internettet.
” enhedsproducenter opfordres til at deaktivere UPnP-abonnementsfunktionen i deres standardkonfiguration og kræve, at brugerne eksplicit aktiverer abonner med passende netværksbegrænsninger for at begrænse brugen til et betroet lokalnetværk,” rådede de.,
“leverandører opfordres til at implementere den opdaterede specifikation leveret af OCF. Brugere bør overvåge leverandør support kanaler for opdateringer, der gennemfører den nye abonnere specifikation.”
adadrcrc.bemærkede, at fordi CallStranger er en protokolsårbarhed, kan det tage lang tid for leverandører at levere patches.
“hjemmebrugere forventes ikke at blive målrettet direkte. Hvis deres internet-modstående enheder har UPnP-endepunkter, kan deres enheder muligvis bruges til DDoS-kilde,” tilføjede han.,
han rådede virksomheder til at kontrollere, om enheder, de bruger, er sårbare, og leverede et script, der kan hjælpe dem med at gøre det, samt lagde flere afbødende handlinger, de kan udføre.
“Vi ser data e .filtration som den største risiko for CallStranger. Kontrol af logfiler er kritisk, hvis nogen trussel skuespiller brugte dette i fortiden,” bemærkede han. “Fordi det også kan bruges til DDoS, forventer vi, at botnets vil begynde at implementere denne nye teknik ved at forbruge slutbrugerenheder., På grund af de seneste UPnP-sårbarheder blokerede virksomheder Interneteksponerede UPnP-enheder, så vi forventer ikke at se portscanning fra Internet til Intranet, men Intranet til Intranet kan være et problem.”
Leave a Reply