O vulnerabilitate (CVE-2020-12695) în Universal Plug and Play (UPnP), care este implementat în miliarde de rețea și dispozitive Io – calculatoare personale, imprimante, dispozitive mobile, routere, console de jocuri, Wi-Fi puncte de acces, și așa mai departe – poate permite neautentificat, atacatorii de la distanță pentru a extrage date, scanare retele interne sau de a face dispozitivele participa la atacuri DDoS.,
despre UPnP
UPnP este un set de protocoale de rețea care permite dispozitivelor în rețea să descopere și să interacționeze automat între ele atunci când se află în aceeași rețea. UPnP este destinat în principal rețelelor wireless rezidențiale și SOHO. Este conceput pentru a fi utilizat într-o rețea locală de încredere (LAN) și astfel protocolul nu implementează nicio formă de autentificare sau verificare. Acesta este unul dintre motivele pentru care unele dispozitive UPnP sunt livrate cu protocolul oprit în mod implicit și administratorii îl pot activa, dacă este necesar.,dezvoltarea protocolului UPnP este gestionată de Open Connectivity Foundation (OCF), o organizație de Standarde al cărei scop este promovarea interoperabilității dispozitivelor conectate.
Despre vulnerabilitatea (CVE-2020-12695)
CVE-2020-12695 (aka „CallStranger”) a fost descoperit de către cercetător de securitate Yunus Çadırcı și privat raportat la OFC târziu în 2019.,
„vulnerabilitatea (…) este cauzată de apel invers antet valoare în UPnP mă ABONEZ funcție poate fi controlată de către un atacator și permite o SSRF-ca vulnerabilitate care afecteaza milioane de Internet se confruntă și miliarde de dispozitive LAN,” Çadırcı explicat.mai multe detalii tehnice sunt disponibile aici, dar, pe scurt, vulnerabilitatea poate fi utilizată pentru a ocoli dispozitivele DLP și de securitate a rețelei pentru a exfiltra date, a scana porturile interne și a forța milioane de dispozitive UPnP orientate spre Internet să devină o sursă de TCP DDoS reflectat amplificat.
ce acum?,
Open Connectivity Foundation a remediat vulnerabilitatea și a actualizat specificația UPnP pe 17 aprilie 2020. De asemenea, au contactat unii furnizori afectați (cei incluși în raportul lui Çadırcı).o căutare Shodan arată că există în jur de 5,5 milioane de dispozitive cu care se confruntă Internetul cu UPnP activat acolo.printre dispozitivele vulnerabile confirmate se numără computerele care rulează Windows 10, Xbox One, dispozitivele Belkin WeMo home automation, imprimantele fabricate de Canon, HP și Epson, televizoarele inteligente Samsung, routerele și modemurile fabricate de Broadcom, Cisco, D-Link, Huawei, Zyxel și multe altele., Institutul de inginerie software al CMU a publicat, de asemenea, o notă de vulnerabilitate pentru CVE-2020-12695 și o va actualiza pentru a lista dispozitivele afectate și linkurile către patch-urile disponibile. De asemenea, au remarcat că, în general, trebuie evitată crearea UPnP disponibilă pe Internet.
„producătorii de dispozitive sunt îndemnați să dezactiveze capacitatea de abonare UPnP în configurația implicită și să solicite utilizatorilor să permită în mod explicit abonarea cu orice restricții de rețea adecvate pentru a limita utilizarea acesteia la o rețea locală de încredere”, au sfătuit.,
„vânzătorii sunt îndemnați să implementeze specificațiile actualizate furnizate de OCF. Utilizatorii ar trebui să monitorizeze canalele de asistență ale furnizorilor pentru actualizări care implementează noua specificație de abonare.Çadırcı a menționat că, deoarece CallStranger este o vulnerabilitate a protocolului, poate dura mult timp ca vânzătorii să furnizeze patch-uri.
„utilizatorii casnici nu sunt de așteptat să fie direcționați direct. Dacă dispozitivele lor cu care se confruntă internetul au puncte finale UPnP, dispozitivele lor pot fi utilizate pentru sursa DDoS”, a adăugat el.,el a sfătuit întreprinderile să verifice dacă dispozitivele pe care le folosesc sunt vulnerabile și a furnizat un script care le poate ajuta să facă acest lucru, precum și a stabilit mai multe acțiuni de atenuare pe care le pot efectua.
„vedem exfiltrarea datelor ca fiind cel mai mare risc de CallStranger. Verificarea jurnalelor este critică dacă vreun actor de amenințare a folosit acest lucru în trecut”, a menționat el. „Deoarece poate fi folosit și pentru DDoS, ne așteptăm ca botnetele să înceapă să implementeze această nouă tehnică consumând dispozitive pentru utilizatorii finali., Din cauza celor mai recente vulnerabilități UPnP, întreprinderile au blocat dispozitivele UPnP expuse la Internet, astfel încât nu ne așteptăm să vedem scanarea porturilor de la Internet la Intranet, dar Intranetul la Intranet poate fi o problemă.”
Leave a Reply