Una vulnerabilità (CVE-2020-12695) in Universal Plug and Play (UPnP), che viene attuato in miliardi di in rete e dispositivi IoT – personal computer, stampanti, dispositivi mobili, router, console di gioco, Wi-Fi, punti di accesso, e così via – può consentire non autenticata, ad aggressori remoti di sottrarre dati, scansione di reti interne o di rendere i dispositivi partecipare attacchi DDoS.,
Informazioni su UPnP
UPnP è un insieme di protocolli di rete che consente ai dispositivi collegati in rete di scoprire e interagire automaticamente tra loro quando si trovano sulla stessa rete.
UPnP è destinato principalmente alle reti wireless residenziali e SOHO. È progettato per essere utilizzato in una rete locale attendibile (LAN) e quindi il protocollo non implementa alcuna forma di autenticazione o verifica. Questo è uno dei motivi per cui alcuni dispositivi UPnP vengono forniti con il protocollo disattivato per impostazione predefinita ed è sugli amministratori per abilitarlo, se necessario.,
Lo sviluppo del protocollo UPnP è gestito dalla Open Connectivity Foundation (OCF), un’organizzazione di standard il cui obiettivo è promuovere l’interoperabilità dei dispositivi connessi.
Informazioni sulla vulnerabilità (CVE-2020-12695)
CVE-2020-12695 (aka “CallStranger”) è stato scoperto dal ricercatore di sicurezza Yunus Çadırcı e segnalato privatamente all’OFC alla fine del 2019.,
“La vulnerabilità (…) è causata dal valore dell’intestazione di callback nella funzione UPnP SUBSCRIBE può essere controllata da un utente malintenzionato e consente una vulnerabilità simile a SSRF che colpisce milioni di Internet e miliardi di dispositivi LAN”, ha spiegato Çadırcı.
Ulteriori dettagli tecnici sono disponibili qui, ma, in breve, la vulnerabilità può essere utilizzata per bypassare i dispositivi di sicurezza DLP e di rete per esfiltrare i dati, scansionare le porte interne e costringere milioni di dispositivi UPnP rivolti a Internet a diventare una fonte di TCP DDoS amplificato riflesso.
E ora?,
La Open Connectivity Foundation ha risolto la vulnerabilità e aggiornato le specifiche UPnP il 17 aprile 2020. Hanno anche contattato alcuni fornitori interessati (quelli inclusi nel rapporto di Çadırcı).
Una ricerca Shodan mostra che ci sono circa 5,5 milioni di dispositivi rivolti a Internet con UPnP abilitato là fuori.
Tra i dispositivi vulnerabili confermati ci sono computer che eseguono Windows 10, Xbox One, dispositivi di automazione domestica Belkin WeMo, stampanti prodotte da Canon, HP ed Epson, smart TV Samsung, router e modem prodotti da Broadcom, Cisco, D-Link, Huawei, Zyxel e altro ancora.,
Il Software Engineering Institute di CMU ha anche pubblicato una nota di vulnerabilità per CVE-2020-12695 e la aggiornerà per elencare i dispositivi interessati e i collegamenti alle patch disponibili. Hanno anche notato che, in generale, la messa a disposizione di UPnP su Internet dovrebbe essere evitata.
“I produttori di dispositivi sono invitati a disabilitare la funzionalità UPnP SUBSCRIBE nella loro configurazione predefinita e a richiedere agli utenti di abilitare esplicitamente SUBSCRIBE con eventuali restrizioni di rete appropriate per limitare il suo utilizzo a una rete locale attendibile”, hanno consigliato.,
“I fornitori sono invitati a implementare le specifiche aggiornate fornite dall’OCF. Gli utenti devono monitorare i canali di supporto del fornitore per gli aggiornamenti che implementano la nuova specifica SUBSCRIBE.”
Çadırcı ha notato che poiché CallStranger è una vulnerabilità del protocollo, potrebbe essere necessario molto tempo per i fornitori per fornire le patch.
“Gli utenti domestici non dovrebbero essere presi di mira direttamente. Se i loro dispositivi rivolti a Internet hanno endpoint UPnP, i loro dispositivi possono essere utilizzati per la fonte DDoS”, ha aggiunto.,
Ha consigliato alle aziende di verificare se i dispositivi che usano sono vulnerabili e ha fornito uno script che può aiutarli a farlo, oltre a definire diverse azioni di mitigazione che possono eseguire.
“Vediamo l’esfiltrazione dei dati come il più grande rischio di CallStranger. Il controllo dei registri è fondamentale se qualsiasi attore di minacce lo ha utilizzato in passato”, ha osservato. “Poiché può essere utilizzato anche per DDoS, ci aspettiamo che le botnet inizino a implementare questa nuova tecnica consumando i dispositivi degli utenti finali., A causa delle ultime vulnerabilità UPnP, le aziende hanno bloccato i dispositivi UPnP esposti a Internet, quindi non ci aspettiamo di vedere la scansione delle porte da Internet a Intranet, ma Intranet a Intranet potrebbe essere un problema.”
Leave a Reply