een kwetsbaarheid (CVE-2020 – 12695) in Universal Plug and Play (UPnP), die wordt geà mplementeerd in miljarden netwerk-en IoT – apparaten-personal computers, printers, mobiele apparaten, routers, gaming consoles, Wi-Fi access points, enzovoort-kan toestaan dat niet-geverifieerde, externe aanvallers gegevens exfiltreren, interne netwerken scannen of de apparaten laten deelnemen aan DDoS-aanvallen.,
over UPnP
UPnP is een set netwerkprotocollen waarmee netwerkapparaten elkaar automatisch kunnen ontdekken en met elkaar kunnen communiceren wanneer ze zich op hetzelfde netwerk bevinden.
UPnP is voornamelijk bedoeld voor residentiële en SOHO draadloze netwerken. Het is ontworpen om te worden gebruikt in een vertrouwd LAN (Local area network) en het protocol implementeert dus geen enkele vorm van authenticatie of verificatie. Dat is een van de redenen waarom sommige UPnP-apparaten worden geleverd met het protocol standaard uitgeschakeld en het is op beheerders om het in te schakelen, indien nodig.,
De ontwikkeling van het UPnP-protocol wordt beheerd door de Open Connectivity Foundation (OCF), een normalisatie-instelling die als doel heeft de interoperabiliteit van aangesloten apparaten te bevorderen.
over de kwetsbaarheid (CVE-2020-12695)
CVE-2020-12695 (aka “CallStranger”) werd ontdekt door security-onderzoeker Yunus Çadırcı en privé gerapporteerd aan de OFC eind 2019.,
” de kwetsbaarheid (…) wordt veroorzaakt door Callback header waarde in UPnP SUBSCRIBE functie kan worden gecontroleerd door een aanvaller en maakt een ssrf-achtige kwetsbaarheid die miljoenen internet geconfronteerd en miljarden LAN-apparaten beà nvloedt,” Çadırcı uitgelegd.
meer technische details zijn hier beschikbaar, maar kortom, de kwetsbaarheid kan worden gebruikt om DLP-en netwerkbeveiligingsapparaten te omzeilen om gegevens te exfiltreren, interne poorten te scannen en miljoenen internet-gerichte UPnP-apparaten te dwingen een bron van versterkte gereflecteerde TCP-DDoS te worden.
wat nu?,
De Open Connectivity Foundation heeft de kwetsbaarheid opgelost en de UPnP-specificatie bijgewerkt op 17 April 2020. Ze hebben ook contact opgenomen met een aantal betrokken leveranciers (die opgenomen in Çadırcı ‘ s rapport).
een Shodan zoekopdracht toont aan dat er ongeveer 5,5 miljoen internet-gerichte apparaten zijn met UPnP ingeschakeld.
onder de bevestigde kwetsbare apparaten zijn computers met Windows 10, Xbox One, Belkin WeMo home automation apparaten, printers vervaardigd door Canon, HP en Epson, Samsung smart Tv ‘ s, routers en modems vervaardigd door Broadcom, Cisco, D-Link, Huawei, Zyxel, en meer.,
CMU ‘ s Software Engineering Institute heeft ook een kwetsbaarheidsnotitie gepubliceerd voor CVE-2020-12695 en zal deze updaten om de getroffen apparaten en links naar beschikbare patches te tonen. Ze hebben ook opgemerkt dat, in het algemeen, het maken van UPnP beschikbaar via het Internet moet worden vermeden.
” apparaatfabrikanten worden aangespoord om de UPnP-ABONNEERMOGELIJKHEID in hun standaardconfiguratie uit te schakelen en gebruikers te verplichten om abonneren expliciet in te schakelen met de juiste netwerkbeperkingen om het gebruik ervan te beperken tot een vertrouwd lokaal netwerk,” adviseerden ze.,
“verkopers worden aangespoord om de bijgewerkte specificatie van de OCF te implementeren. Gebruikers moeten supportkanalen van Leveranciers controleren op updates die de nieuwe ABONNEESPECIFICATIE implementeren.”
Çadırcı merkte op dat, omdat CallStranger een protocol kwetsbaarheid is, het lang kan duren voordat leveranciers patches leveren.
“thuisgebruikers worden naar verwachting niet direct gericht. Als hun internet geconfronteerd apparaten UPnP endpoints hebben, hun apparaten kunnen worden gebruikt voor DDoS bron,” voegde hij eraan toe.,
hij adviseerde bedrijven om te controleren of apparaten die zij gebruiken kwetsbaar zijn en gaf een script dat hen kan helpen om dat te doen, evenals een aantal mitigatiemaatregelen die zij kunnen uitvoeren.
” we zien Data exfiltratie als het grootste risico van CallStranger. Het controleren van logs is van cruciaal belang als een bedreiging acteur gebruikt dit in het verleden,” merkte hij op. “Omdat het ook voor DDoS kan worden gebruikt, verwachten we dat botnets deze nieuwe techniek gaan implementeren door eindgebruikersapparaten te gebruiken., Vanwege de nieuwste UPnP kwetsbaarheden, bedrijven geblokkeerd internet-blootgestelde UPnP-apparaten, dus we verwachten niet te zien poort scannen van Internet naar Intranet, maar Intranet naar Intranet kan een probleem zijn.”
Leave a Reply