Luka (CVE-2020-12695) w oprogramowaniu Universal Plug and Play (UPnP), która jest implementowana w miliardach urządzeń sieciowych i IoT – komputerach osobistych, drukarkach, urządzeniach mobilnych, routerach, konsolach do gier, punktach dostępowych Wi-Fi itp. – może pozwolić nieautentycznym, zdalnym atakującym na eksfiltrację danych, skanowanie sieci wewnętrznych lub zmuszanie urządzeń do udziału w atakach DDoS.,
informacje o UPnP
UPnP to zestaw protokołów sieciowych, który umożliwia urządzeniom sieciowym automatyczne wykrywanie i interakcję ze sobą podczas korzystania z tej samej sieci.
UPnP jest przeznaczony przede wszystkim dla sieci bezprzewodowych mieszkalnych i SOHO. Jest przeznaczony do użytku w zaufanej sieci lokalnej (LAN) i dlatego protokół nie implementuje żadnej formy uwierzytelniania lub weryfikacji. Jest to jeden z powodów, dla których niektóre urządzenia UPnP są dostarczane z domyślnie wyłączonym protokołem, a administratorzy mogą go włączyć w razie potrzeby.,
rozwój protokołu UPnP jest zarządzany przez Open Connectivity Foundation (OCF), Organizację Normalizacyjną, której celem jest promowanie interoperacyjności podłączonych urządzeń.
o luce (CVE-2020-12695)
CVE-2020-12695 (znany jako „CallStranger”) został odkryty przez badacza bezpieczeństwa Yunusa Çadırcı i prywatnie zgłoszony do OFC pod koniec 2019 roku.,
„luka (…) jest spowodowana wartością nagłówka wywołania zwrotnego w funkcji SUBSCRIBE UPnP może być kontrolowana przez atakującego i umożliwia podatność podobną do ssrf, która wpływa na miliony Internetu i miliardy urządzeń LAN,” Çadırcı wyjaśnił.
Więcej szczegółów technicznych można znaleźć tutaj, ale krótko mówiąc, luka może być wykorzystana do ominięcia DLP i urządzeń zabezpieczających sieć w celu eksfiltracji danych, skanowania portów wewnętrznych i zmuszania milionów urządzeń UPnP skierowanych do Internetu, aby stały się źródłem wzmocnionych odbitych DDoS TCP.
co teraz?,
Open Connectivity Foundation naprawiła lukę i zaktualizowała specyfikację UPnP 17 kwietnia 2020 roku. Skontaktowali się również z niektórymi dotkniętymi dostawcami(tymi zawartymi w raporcie Çadırcı).
Wyszukiwanie Shodan pokazuje, że istnieje około 5,5 miliona urządzeń internetowych z włączonym UPnP.
wśród potwierdzonych wrażliwych urządzeń znajdują się komputery z systemem Windows 10, Xbox One, Urządzenia automatyki domowej Belkin Wemo, Drukarki Canon, HP i Epson, Inteligentne telewizory Samsung, routery i modemy Broadcom, Cisco, D-Link, Huawei, Zyxel i inne.,
Instytut Inżynierii Oprogramowania CMU opublikował również notę dotyczącą luki w zabezpieczeniach dla CVE-2020-12695 i będzie ją aktualizować, aby wymienić dotknięte urządzenia i linki do dostępnych łat. Zauważyli również, że generalnie należy unikać udostępniania UPnP przez Internet.
„producenci urządzeń proszeni są o wyłączenie możliwości subskrypcji UPnP w swojej domyślnej konfiguracji i o wymaganie od użytkowników wyraźnego włączenia subskrypcji z odpowiednimi ograniczeniami sieciowymi, aby ograniczyć jej użycie do zaufanej sieci lokalnej”, poradzili.,
„dostawcy proszeni są o zaimplementowanie zaktualizowanej specyfikacji dostarczonej przez OCF. Użytkownicy powinni monitorować kanały wsparcia dostawców pod kątem aktualizacji, które implementują nową specyfikację SUBSCRIBE.”
Çadırcı zauważył, że ponieważ CallStranger jest luką w protokole, dostarczenie poprawek może zająć dużo czasu.
„użytkownicy domowi nie powinni być kierowani bezpośrednio. Jeśli ich urządzenia internetowe mają punkty końcowe UPnP, ich urządzenia mogą być używane do źródła DDoS” – dodał.,
doradził przedsiębiorstwom sprawdzenie, czy urządzenia, których używają, są podatne na ataki i dostarczył skrypt, który może im w tym pomóc, a także określił kilka działań łagodzących, które mogą wykonać.
„postrzegamy eksfiltrację danych jako największe ryzyko wywołania Callstrangera. Sprawdzanie dzienników ma kluczowe znaczenie, jeśli jakikolwiek aktor zagrożenia używał tego w przeszłości” – zauważył. „Ponieważ może być również używany do ataków DDoS, spodziewamy się, że botnety zaczną wdrażać tę nową technikę, zużywając urządzenia użytkowników końcowych., Ze względu na najnowsze luki w zabezpieczeniach UPnP, przedsiębiorstwa zablokowały narażone na działanie Internetu urządzenia UPnP, więc nie spodziewamy się skanowania portów z Internetu do intranetu, ale Intranet do intranetu może stanowić problem.”
Leave a Reply