En säkerhetslucka (CVE-2020-12695) i Universal Plug and Play (UPnP), som genomförs i miljarder nätverk och sakernas internet enheter – datorer, skrivare, mobiltelefoner, routrar, spelkonsoler, Wi-Fi-åtkomstpunkter, och så vidare – kan tillåta icke-autentiserade, för angripare utifrån att exfiltrate data, skanna interna nätverk eller enheter delta i DDoS-attacker.,
om UPnP
UPnP är en uppsättning nätverksprotokoll som tillåter nätverksanslutna enheter att automatiskt upptäcka och interagera med varandra när på samma nätverk.
UPnP är främst avsedd för bostäder och SOHO trådlösa nätverk. Den är utformad för att användas i ett betrott lokalt nätverk (LAN) och så att protokollet inte implementerar någon form av autentisering eller verifiering. Det är en av anledningarna till att vissa UPnP-enheter levereras med protokollet avstängt som standard och det är på administratörer för att aktivera det, om det behövs.,
utvecklingen av UPnP-protokollet hanteras av Open Connectivity Foundation (OCF), en standardiseringsorganisation vars mål är att främja driftskompatibiliteten hos anslutna enheter.
om sårbarheten (CVE-2020-12695)
CVE-2020-12695 (aka ”CallStranger”) upptäcktes av säkerhetsforskaren Yunus Çadırcı och rapporteras privat till OFC i slutet av 2019.,
”sårbarheten ( … ) orsakas av Callback header värde i UPnP prenumerera funktion kan styras av en angripare och möjliggör en SSRF – liknande sårbarhet som påverkar miljontals Internet inför och miljarder LAN-enheter,” Çadırcı förklarade.
mer tekniska detaljer finns här, men kort sagt kan sårbarheten användas för att kringgå DLP-och nätverkssäkerhetsenheter för att exfiltrera data, skanna interna portar och tvinga miljontals Internet-vända UPnP-enheter att bli en källa till förstärkta reflekterade TCP DDoS.
Vad nu?,
Open Connectivity Foundation fastställde sårbarheten och uppdaterade UPnP-specifikationen den 17 April 2020. De kontaktade också vissa berörda leverantörer (de som ingår i Çadırcıs rapport).
en Shodan-sökning visar att det finns cirka 5,5 miljoner internetanslutna enheter med UPnP aktiverat där ute.
Bland de bekräftade sårbara enheter är datorer som kör Windows 10, Xbox, Belkin WeMo home automation-enheter, skrivare tillverkade av Canon, HP och Epson, Samsung smart-Tv, routrar och modem som tillverkas av Broadcom, Cisco, D-Link, Huawei, Zyxel och mycket mer.,
CMU: s Software Engineering Institute har också publicerat en sårbarhetsnota för CVE-2020-12695 och kommer att uppdatera den för att lista drabbade enheter och länkar till tillgängliga patchar. De har också noterat att i allmänhet, att göra UPnP tillgänglig via Internet bör undvikas.
”enhetstillverkare uppmanas att inaktivera UPnP-prenumerationsfunktionen i sin standardkonfiguration och att kräva att användare uttryckligen aktiverar prenumerera med lämpliga nätverksbegränsningar för att begränsa användningen till ett betrott lokalt nätverk”, rekommenderade de.,
”leverantörer uppmanas att genomföra den uppdaterade specifikationen från OCF. Användare bör övervaka leverantörens supportkanaler för uppdateringar som implementerar den nya PRENUMERATIONSSPECIFIKATIONEN.”
Çadırcı noterade att eftersom CallStranger är en protokolls sårbarhet kan det ta lång tid för leverantörer att tillhandahålla patchar.
”hemanvändare förväntas inte vara riktade direkt. Om deras internet facing-enheter har UPnP-slutpunkter kan deras enheter användas för DDoS-källa”, tillade han.,
han rådde företag att kontrollera om enheter de använder är sårbara och gav ett skript som kan hjälpa dem att göra det, samt lade fram flera mildrande åtgärder som de kan utföra.
”Vi ser data exfiltration som den största risken för CallStranger. Kontrollera loggar är avgörande om någon hot skådespelare använde detta tidigare, ” noterade han. ”Eftersom det också kan användas för DDoS, förväntar vi oss att botnät börjar implementera denna nya teknik genom att konsumera slutanvändarenheter., På grund av de senaste UPnP-sårbarheterna blockerade företag Internetexponerade UPnP-enheter så att vi inte förväntar oss att se portskanning från Internet till intranät, men intranät till intranät kan vara ett problem.”
Leave a Reply