Uma vulnerabilidade (CVE-2020-12695) Universal Plug and Play (UPnP), que é implementado em bilhões de rede e de IoT dispositivos – computadores pessoais, impressoras, dispositivos móveis, roteadores, consolas de jogos, Wi-Fi, pontos de acesso, e assim por diante – pode permitir remoto não autenticado atacantes para a evasão de dados, digitalização de redes internas ou faça a dispositivos de participar de ataques DDoS.,
sobre UPnP
UPnP é um conjunto de protocolos de rede que permite que os dispositivos em rede descubram e interajam automaticamente uns com os outros na mesma rede.
UPnP destina-se principalmente a redes sem fio residenciais e SOHO. Ele é projetado para ser usado em uma rede local confiável (LAN) e assim o protocolo não implementa qualquer forma de autenticação ou verificação. Essa é uma das razões pelas quais alguns dispositivos UPnP são enviados com o protocolo desligado por padrão e está em Administradores para ativá-lo, se necessário.,
o desenvolvimento do protocolo UPnP é gerenciado pela Open Connectivity Foundation (OCF), uma organização de padrões cujo objetivo é promover a interoperabilidade de dispositivos conectados.
Sobre a vulnerabilidade (CVE-2020-12695)
CVE-2020-12695 (aka “CallStranger”) foi descoberto pelo pesquisador de segurança Yunus Çadırcı e comunicada de forma privada para a OFC no final de 2019.,
“a vulnerabilidade (…) é causada pelo valor de cabeçalho de Callback na função UPnP SUBSCRIBE pode ser controlada por um atacante e permite uma vulnerabilidade do tipo SSRF que afeta milhões de dispositivos LAN voltados para a Internet e bilhões de dispositivos”, explicou Çadırcı.
Mais detalhes técnicos estão disponíveis aqui, mas, em suma, a vulnerabilidade pode ser usada para contornar os dispositivos de segurança da DLP e da rede para exfiltrar dados, digitalizar portas internas, e forçar milhões de dispositivos UPnP voltados para a Internet a se tornar uma fonte de DDoS TCP refletidos amplificados.e agora?,
a Open Connectivity Foundation fixou a vulnerabilidade e atualizou a especificação UPnP em 17 de abril de 2020. Eles também contataram alguns vendedores afetados (Os incluídos no relatório de Çadırcı).
uma pesquisa Shodan mostra que existem cerca de 5,5 milhões de dispositivos voltados para a Internet com UPnP ativado lá fora.entre os dispositivos vulneráveis confirmados estão computadores rodando Windows 10, Xbox One, Belkin Wemo home automation devices, impressoras fabricadas pela Canon, HP e Epson, Samsung smart TVs, roteadores e modems fabricados pela Broadcom, Cisco, D-Link, Huawei, Zyxel e muito mais., o Instituto de Engenharia de Software da CMU também publicou uma nota de vulnerabilidade para CVE-2020-12695 e irá atualizá-la para listar dispositivos afetados e links para patches disponíveis. Eles também observaram que, em geral, a criação de UPnP disponível através da Internet deve ser evitada.
“os fabricantes de dispositivos são instados a desativar a capacidade de Subscrição UPnP em sua configuração padrão e a exigir que os usuários permitam explicitamente a subscrição com quaisquer restrições de rede apropriadas para limitar o seu uso a uma rede local confiável”, eles aconselharam.,
“os vendedores são instados a implementar a especificação atualizada fornecida pela OCF. Os usuários devem monitorar os canais de suporte do fornecedor para atualizações que implementem a nova especificação do SUBSCRIBE.”
Çadırcı observou que como CallStranger é uma vulnerabilidade de protocolo, pode levar um longo tempo para os vendedores para fornecer patches.não se espera que os utilizadores domésticos sejam directamente visados. Se seus dispositivos voltados para a internet têm pontos finais UPnP, seus dispositivos podem ser usados para a fonte DDoS”, acrescentou.,ele aconselhou as empresas a verificar se os dispositivos que usam são vulneráveis e forneceu um script que pode ajudá-las a fazer isso, bem como estabeleceu várias ações de mitigação que podem realizar.
“vemos a exfiltração de dados como o maior risco de CallStranger. Verificar registros é crítico se algum ator de ameaça usou isso no passado”, ele observou. “Como também pode ser usado para DDoS, esperamos que os botnets comecem a implementar esta nova técnica consumindo dispositivos de usuário final., Por causa das mais recentes vulnerabilidades UPnP, as empresas bloquearam dispositivos UPnP expostos à Internet para que não esperamos ver varredura de porta da Internet para Intranet, mas Intranet para Intranet pode ser um problema.”
Leave a Reply