Callstranger-sårbarhed i UPnP-protokollen

Ny sårbarhed udstiller svagheden ved, at alle enheder skal være forbundne.

En alvorlig sårbarhed i UPnP-protokollen, som bl.a. findes i stort set alle IoT-produkter, er blevet fundet. Sårbarheden kan udnyttes til at kapre IoT-produkterne og fx gøre dem til bots. Dermed kan de blive en del af botnet, som fx kan anvendes til DDoS-angreb.

Udnyttelse af sårbarheden gør det fx muligt for angribere at komme forbi sikkerhedsløsningerne, så de kan gennemføre scanninger på et offers interne netværk. Hermed får angribere adgang til at undersøge områder, de almindeligvis ikke kan nå på andre måder. Desuden kan sårbarheden også udnyttes til at omgå sikkerhedsløsninger, der ellers er designet til at sikre, at der ikke kan sendes information ud af netværket.

Adgangen til udnyttelse af sårbarheden sker primært via port 1900/UDP (UPnP).  

UPnP muliggør IoT-tankegangen

Sårbarheden påvirker ifølge Bleeping Computer alle enheder, der kører UPnP-versioner fra før 17. april. Inkluderet heri er alle versioner af Windows 10, routere, accesspoints, printere, spillekonsoller, dørtelefoner, medieapps og -enheder, kameraer og fjernsyn.

UPnP-sårbarheden er således ikke kun et issue for IoT-produkter. Også mange andre it-produkter anvender UPnP-protokollen. Når protokollen muliggør, at enhederne på lokale netværk kan se hinanden, udveksle data, konfigurationer osv, så har man i praksis en synkronisering af data, der er udgangspunktet for IoT-tankegangen. I den kontekst giver det god mening, at UPnP er en forkortelse for Universal Plug and Play.

Anvendelsen af UPnP er tiltænkt at ske udelukkende på interne netværk, så der er ikke indarbejdet autentifikation eller verifikation mellem enhederne. Er man først inde, er der i princippet adgang til alle data, der udveksles.

En mere uddybende forklaring på UPnP findes her: https://www.varonis.com/blog/what-is-upnp/

Fundet i december

Sårbarheden blev opdaget i december, og en konceptuel løsning har været tilgængelig i de sidste to måneder. Alligevel vurderer Bleeping Computer ikke, at der er så stor sandsynlighed for, at mange IoT-produkter bliver opdateret. Dels kræver det, at producenterne af enhederne rent faktisk udsender patches til egne produkter, hvilket tager tid, når det handler om sårbarheder i protokollen. Dels bliver mange IoT-produkter slet ikke opdateret længere.

Sårbarheden har fået navnet CallStranger og er blevet indrapporteret til Open Connectivity Foundation. Det er den organisation, der udvikler UPnP-protokollen.

Canergie Mellon University har udsendt en meddelelse om sårbarheden, hvor de tekniske detaljer gennemgås. Meddelelsen kan læses her: https://kb.cert.org/vuls/id/339275 

Anbefalinger:

  • Opdater styresystemer med nyeste versioner.
  • Spær adgang til port 1900/UDP fra internet mod egne systemer, undtagen hvis der er specifikke behov.
  • Gennemgå internetvendte systemer for, om UPnP-service er kørende, og overvej om den kan lukkes.
  • Hvis muligt, overvåg om der ses http-trafik til IP-adresser andet end ip'er i private adr-rum, og 'subscribe' indgår i indholdet. Sådan trafik vil være tegn på at data udlæses fra dine systemer.

Links:

https://www.zdnet.com/article/callstranger-vulnerability-lets-attacks-bypass-security-systems-and-scan-lans/

https://www.bleepingcomputer.com/news/security/callstranger-upnp-bug-allows-data-theft-ddos-attacks-lan-scans/