Une vulnérabilité (CVE-2020-12695) dans Universal Plug And Play (UPnP), qui est implémentée dans des milliards d’appareils en réseau et IoT – ordinateurs personnels, imprimantes, appareils mobiles, Routeurs, consoles de jeux, points d’accès Wi-Fi, etc. – peut permettre à des attaquants distants non authentifiés d’exfiltrer des données, d’analyser des réseaux internes ou de faire participer les appareils à des attaques DDoS.,
à propos de UPnP
UPnP est un ensemble de protocoles réseau qui permet aux périphériques en réseau de se découvrir automatiquement et d’interagir les uns avec les autres lorsqu’ils sont sur le même réseau.
UPnP est principalement destiné aux réseaux sans fil résidentiels et SOHO. Il est conçu pour être utilisé dans un réseau local de confiance (LAN) et donc le protocole n’implémente aucune forme d’authentification ou de vérification. C’est l’une des raisons pour lesquelles certains périphériques UPnP sont livrés avec le protocole désactivé par défaut et il est sur les administrateurs pour l’activer, si nécessaire.,
le développement du protocole UPnP est géré par L’Open Connectivity Foundation (OCF), un organisme de normalisation dont l’objectif est de promouvoir l’interopérabilité des appareils connectés.
à propos de la vulnérabilité (CVE-2020-12695)
CVE-2020-12695 (alias « CallStranger”) a été découvert par le chercheur en sécurité Yunus Çadırcı et signalé en privé à L’OFC à la fin de 2019.,
« la vulnérabilité (…) est causée par la valeur D’en-tête de rappel dans la fonction D’abonnement UPnP peut être contrôlée par un attaquant et active une vulnérabilité de type SSRF qui affecte des millions de périphériques Internet et des milliards de périphériques LAN”, a expliqué Çadırcı.
plus de détails techniques sont disponibles ici, mais, en bref, la vulnérabilité peut être utilisée pour contourner les dispositifs de sécurité DLP et réseau pour exfiltrer des données, analyser les ports internes et forcer des millions de périphériques UPnP orientés Internet à devenir une source de DDoS TCP reflétés amplifiés.
et maintenant?,
L’Open Connectivity Foundation a corrigé la vulnérabilité et mis à jour la spécification UPnP le 17 avril 2020. Ils ont également contacté certains fournisseurs concernés (ceux inclus dans le rapport de Çadırcı).
une recherche de Shodan montre qu’il y a environ 5,5 millions d’appareils connectés à Internet avec UPnP activé là-bas.
parmi les appareils vulnérables confirmés figurent les ordinateurs exécutant Windows 10, Xbox One, les appareils domotiques Belkin WeMo, les imprimantes fabriquées par Canon, HP et Epson, Les téléviseurs intelligents Samsung, les routeurs et les modems fabriqués par Broadcom, Cisco, D-Link, Huawei, Zyxel, etc.,
L’Institut de génie logiciel de CMU a également publié une note de vulnérabilité pour CVE-2020-12695 et la mettra à jour pour répertorier les appareils affectés et les liens vers les correctifs disponibles. Ils ont également noté que, en général, rendre UPnP disponible sur Internet devrait être évité.
« Les fabricants d’appareils sont invités à désactiver la fonctionnalité D’abonnement UPnP dans leur configuration par défaut et à demander aux utilisateurs d’activer explicitement SUBSCRIBE avec toutes les restrictions réseau appropriées pour limiter son utilisation à un réseau local de confiance”, ont-ils conseillé.,
« Les fournisseurs sont invités à mettre en œuvre la spécification mise à jour fournie par le FCO. Les utilisateurs doivent surveiller les canaux de support du fournisseur pour les mises à jour qui implémentent la nouvelle spécification SUBSCRIBE. »
Çadırcı a noté que, parce que CallStranger est une vulnérabilité de protocole, il peut prendre beaucoup de temps pour les fournisseurs de fournir des correctifs.
« on ne s’attend pas à ce que les utilisateurs à domicile soient ciblés directement. Si leurs appareils connectés à internet ont des points de terminaison UPnP, leurs appareils peuvent être utilisés pour la source DDoS », a-t-il ajouté.,
il a conseillé aux entreprises de vérifier si les appareils qu’elles utilisent sont vulnérables et a fourni un script qui peut les aider à le faire, ainsi que plusieurs actions d’atténuation qu’elles peuvent effectuer.
« nous considérons l’exfiltration de données comme le plus grand risque de CallStranger. La vérification des journaux est essentielle si un acteur de menace l’a utilisé dans le passé”, a-t-il noté. « Parce qu’il peut également être utilisé pour les DDoS, nous nous attendons à ce que les botnets commencent à implémenter cette nouvelle technique en consommant des périphériques d’utilisateur final., En raison des dernières vulnérabilités UPnP, les entreprises ont bloqué les appareils UPnP exposés à Internet, de sorte que nous ne nous attendons pas à voir le balayage des ports D’Internet à L’Intranet, mais L’Intranet à L’Intranet peut être un problème.”
Leave a Reply