Eine Sicherheitsanfälligkeit (CVE-2020-12695) in Universal Plug and Play (UPnP), die in Milliarden von Netzwerk – und IoT-Geräten implementiert ist – PCS, Drucker, mobile Geräte, Router, Spielekonsolen, Wi-Fi-Zugangspunkte usw.-kann es nicht authentifizierten Remote-Angreifern ermöglichen, Daten zu exfiltrieren, interne Netzwerke zu scannen oder die Geräte an DDoS-Angriffen teilzunehmen.,
Über UPnP
UPnP ist eine Reihe von Netzwerkprotokollen, mit denen vernetzte Geräte im selben Netzwerk automatisch erkennen und miteinander interagieren können.
UPnP ist in erster Linie für private und SOHO drahtlose Netzwerke bestimmt. Es wurde für die Verwendung in einem vertrauenswürdigen lokalen Netzwerk (LAN) entwickelt, sodass das Protokoll keine Authentifizierung oder Überprüfung implementiert. Dies ist einer der Gründe, warum einige UPnP-Geräte standardmäßig mit deaktiviertem Protokoll ausgeliefert werden und bei Bedarf auf Administratoren aktiviert werden.,
Die Entwicklung des UPnP-Protokolls wird von der Open Connectivity Foundation (OCF) verwaltet, einer Standardorganisation, deren Ziel es ist, die Interoperabilität verbundener Geräte zu fördern.
Über die Sicherheitsanfälligkeit (CVE-2020-12695)
CVE-2020-12695 (auch bekannt als „CallStranger“) wurde vom Sicherheitsforscher Yunus Çadırcı entdeckt und Ende 2019 privat dem OFC gemeldet.,
„Die Sicherheitsanfälligkeit ( … ) wird durch den Rückrufheaderwert in UPnP verursacht, der von einem Angreifer gesteuert werden kann und eine SSRF-ähnliche Sicherheitsanfälligkeit ermöglicht, die Millionen von Internetnutzern und Milliarden von LAN-Geräten betrifft“, erklärte Çadırcı.
Weitere technische Details sind hier verfügbar, aber kurz gesagt, die Sicherheitsanfälligkeit kann verwendet werden, um DLP-und Netzwerksicherheitsgeräte zu umgehen, um Daten zu exfiltrieren, interne Ports zu scannen und Millionen von UPnP-Geräten mit Internetanschluss zu erzwingen eine Quelle verstärkter reflektierter TCP-DDoS.
Was nun?,
Die Open Connectivity Foundation hat die Sicherheitsanfälligkeit behoben und die UPnP-Spezifikation am 17. Sie kontaktierten auch einige betroffene Anbieter (die in Çadırcıs Bericht enthalten sind).
Eine Shodan-Suche zeigt, dass es rund 5,5 Millionen internetfähige Geräte mit aktiviertem UPnP gibt.
Unter den bestätigten anfälligen Geräten befinden sich Computer mit Windows 10, Xbox One, Belkin WeMo Home Automation Devices, Drucker von Canon, HP und Epson, Samsung Smart TVs, Router und Modems von Broadcom, Cisco, D-Link, Huawei, Zyxel und mehr.,
Das Software Engineering Institute der CMU hat auch eine Sicherheitsanfälligkeit für CVE-2020-12695 veröffentlicht und wird diese aktualisieren, um betroffene Geräte und Links zu verfügbaren Patches aufzulisten. Sie haben auch festgestellt, dass im Allgemeinen die Bereitstellung von UPnP über das Internet vermieden werden sollte.
„Gerätehersteller werden aufgefordert, die UPnP-SUBSCRIBE-Funktion in ihrer Standardkonfiguration zu deaktivieren und von Benutzern zu verlangen, dass sie SUBSCRIBE explizit mit geeigneten Netzwerkbeschränkungen aktivieren, um die Nutzung auf ein vertrauenswürdiges lokales Netzwerk zu beschränken“, rieten sie.,
“ Anbieter werden aufgefordert, die aktualisierte Spezifikation des OCF zu implementieren. Benutzer sollten die Supportkanäle des Anbieters auf Updates überwachen, die die neue SUBSCRIBE-Spezifikation implementieren.“
Çadırcı stellte fest, dass es lange dauern kann, bis Anbieter Patches bereitstellen, da CallStranger eine Protokollanfälligkeit darstellt.
“ Es wird nicht erwartet, dass Heimanwender direkt angesprochen werden. Wenn ihre mit dem Internet verbundenen Geräte UPnP-Endpunkte haben, können ihre Geräte für die DDoS-Quelle verwendet werden“, fügte er hinzu.,
Er riet Unternehmen zu überprüfen, ob Geräte, die sie verwenden, anfällig sind, und stellte ein Skript zur Verfügung, das ihnen dabei helfen kann, sowie mehrere Minderungsaktionen, die sie ausführen können.
“ Wir sehen Datenexfiltration als das größte Risiko von CallStranger. Das Überprüfen von Protokollen ist entscheidend, wenn ein Bedrohungsakteur dies in der Vergangenheit verwendet hat“, bemerkte er. „Da es auch für DDoS verwendet werden kann, erwarten wir, dass Botnets mit der Implementierung dieser neuen Technik beginnen, indem sie Endbenutzergeräte verbrauchen., Aufgrund der neuesten UPnP-Sicherheitslücken haben Unternehmen UPnP-Geräte im Internet blockiert, sodass wir nicht erwarten, dass Port-Scans von Internet zu Intranet angezeigt werden, aber Intranet zu Intranet kann ein Problem sein.“
Leave a Reply