Una vulnerabilidad (CVE-2020-12695) en Universal Plug and Play (UPnP), que se implementa en miles de millones de dispositivos en Red e IoT (computadoras personales, impresoras, dispositivos móviles, Enrutadores, consolas de juegos, puntos de acceso Wi – Fi, etc.) puede permitir a atacantes remotos no autenticados exfiltrar datos, escanear redes internas o hacer que los dispositivos participen en ataques DDoS.,
acerca de UPnP
UPnP es un conjunto de protocolos de red que permite a los dispositivos en red descubrir e interactuar automáticamente entre sí cuando están en la misma red.
UPnP está diseñado principalmente para redes inalámbricas residenciales y SOHO. Está diseñado para ser utilizado en una red de área local (LAN) de confianza, por lo que el protocolo no implementa ninguna forma de autenticación o verificación. Esa es una de las razones por las que algunos dispositivos UPnP se envían con el protocolo desactivado de forma predeterminada y los administradores lo habilitan, si es necesario.,
el desarrollo del protocolo UPnP es gestionado por la Open Connectivity Foundation (OCF), una organización de estándares cuyo objetivo es promover la interoperabilidad de los dispositivos conectados.
sobre la vulnerabilidad (CVE-2020-12695)
CVE-2020-12695 (también conocido como «CallStranger») fue descubierto por el investigador de seguridad Yunus Çadırcı y reportado en privado a la OFC a finales de 2019.,
«la vulnerabilidad (…) es causada por el valor del encabezado de devolución de llamada en la función UPnP SUBSCRIBE puede ser controlada por un atacante y habilita una vulnerabilidad similar a la SSRF que afecta a millones de dispositivos de Internet y miles de millones de LAN», explicó Çadırcı.
Más detalles técnicos están disponibles aquí, pero, en resumen, la vulnerabilidad se puede utilizar para omitir DLP y dispositivos de seguridad de red para exfiltrar datos, escanear puertos internos y forzar a millones de dispositivos UPnP orientados a Internet a convertirse en una fuente de DDoS TCP reflejado amplificado.
¿y ahora qué?,
La Open Connectivity Foundation arregló la vulnerabilidad y actualizó la especificación UPnP el 17 de abril de 2020. También se pusieron en contacto con algunos proveedores afectados (los incluidos en el informe de Çadırcı).
Una búsqueda de Shodan muestra que hay alrededor de 5,5 millones de dispositivos orientados a Internet con UPnP habilitado.
entre los dispositivos vulnerables confirmados se encuentran computadoras con Windows 10, Xbox One, dispositivos de automatización del hogar Belkin WeMo, impresoras fabricadas por Canon, HP y Epson, televisores inteligentes Samsung, enrutadores y módems fabricados por Broadcom, Cisco, D-Link, Huawei, Zyxel y más.,
el Instituto de ingeniería de software de CMU también ha publicado una nota de vulnerabilidad para CVE-2020-12695 y la actualizará para enumerar los dispositivos afectados y los enlaces a los parches disponibles. También han señalado que, en general, debe evitarse hacer que UPnP esté disponible a través de Internet.
«Se insta a los fabricantes de dispositivos a deshabilitar la capacidad UPnP SUBSCRIBE en su configuración predeterminada y a exigir a los usuarios que habiliten explícitamente SUBSCRIBE con cualquier restricción de red apropiada para limitar su uso a una red de área local de confianza», aconsejaron.,
«Se insta a los proveedores a implementar la especificación actualizada proporcionada por la OCF. Los usuarios deben supervisar los canales de soporte de los proveedores en busca de actualizaciones que implementen la nueva especificación SUBSCRIBE.»
Çadırcı señaló que debido a que CallStranger es una vulnerabilidad de protocolo, puede tomar mucho tiempo para que los proveedores proporcionen parches.
«no se espera que los usuarios domésticos sean dirigidos directamente. Si sus dispositivos orientados a internet tienen endpoints UPnP, sus dispositivos pueden usarse para fuentes DDoS», agregó.,
aconsejó a las empresas verificar si los dispositivos que utilizan son vulnerables y proporcionó un script que puede ayudarlos a hacerlo, así como estableció varias acciones de mitigación que pueden realizar.
«vemos la exfiltración de datos como el mayor riesgo de CallStranger. Revisar los registros es crítico si cualquier agente de amenaza usó esto en el pasado», señaló. «Debido a que también se puede usar para DDoS, esperamos que las botnets comiencen a implementar esta nueva técnica consumiendo dispositivos de usuario final., Debido a las últimas vulnerabilidades UPnP, las empresas bloquearon los dispositivos UPnP expuestos a Internet, por lo que no esperamos ver el escaneo de puertos de Internet a Intranet, pero Intranet a Intranet puede ser un problema.»
Leave a Reply