Badacz: Usterki UPnP narażają miliony urządzeń sieciowych na ataki zdalne

Tens milionów urządzeń sieciowych, w tym routerów, drukarek, serwerów multimediów, kamer IP, telewizorów inteligentnych i innych, może zostać zaatakowanych przez Internet z powodu niebezpiecznych wad w implementacji standardu protokołu UPnP (Universal Plug and Play), analityków bezpieczeństwa z Rapid7 powiedział we wtorek w dokumencie badawczym.

UPnP pozwala urządzeniom sieciowym odkrywać się nawzajem i automatycznie ustanawiać konfiguracje robocze, które umożliwiają udostępnianie danych, strumieniowanie multimediów, media p kontrola zwolnień i inne usługi. W jednym typowym scenariuszu aplikacja do współdzielenia plików uruchomiona na komputerze może poinformować router za pośrednictwem UPnP, aby otworzyć określony port i zamapować go na adres lokalnej sieci komputerowej, aby otworzyć swoją usługę udostępniania plików dla użytkowników Internetu.

UPnP jest przeznaczony do stosowania przede wszystkim w sieciach lokalnych. Jednak badacze bezpieczeństwa z Rapid7 znaleźli ponad 80 milionów unikalnych publicznych adresów IP (Internet Protocol), które odpowiadały na żądania odkrywania UPnP przez Internet, podczas skanowania przeprowadzonego w zeszłym roku od czerwca do listopada.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z twój komputer z systemem Windows]

Co więcej, okazało się, że 20 procent, czyli 17 milionów, tych adresów IP odpowiada urządzeniom, które wystawiały usługę UPnP SOAP (Simple Object Access Protocol) do Internetu. Ta usługa może umożliwić atakującym atakowanie systemów znajdujących się za zaporą ogniową i ujawniać poufne informacje na ich temat, podali naukowcy z Rapid7.

Na podstawie odpowiedzi wykrywania UPnP naukowcy byli w stanie odcisnąć palcem unikatowe urządzenia i odkryć, z której biblioteki korzystali. Okazało się, że ponad jedna czwarta z nich posiadała UPnP za pośrednictwem biblioteki o nazwie Portable UPnP SDK.

W przenośnym pakiecie UPnP SDK zidentyfikowano osiem podatnych na zranienie luk, w tym dwa, które można wykorzystać do zdalnego wykonywania kodu, powiedzieli naukowcy.

"Luki w zabezpieczeniach, które znaleźliśmy w przenośnym pakiecie UPnP SDK, zostały naprawione od wersji 1.6.18 (wydanej dzisiaj), ale zanim każdy z producentów aplikacji i urządzeń zainstaluje tę poprawkę w swoich produktach, zajmie dużo czasu, "HD Moore, dyrektor ds. Bezpieczeństwa w Rapid7, powiedział we wtorek we wpisie na blogu.

Ponad 23 miliony adresów IP od zidentyfikowanych podczas skanowania odpowiadało urządzeniom, które mogą zostać zagrożone poprzez przenośne usterki UPKP SDK, wysyłając jeden specjalnie spreparowany Pakiet UDP do nich, według Moore'a.

Dodatkowe luki, w tym te, które mogą być użyte w atakach typu odmowa usługi i zdalnego wykonania kodu, istnieją również w bibliotece UPnP lał MiniUPnP. Mimo że luki te zostały rozwiązane w wersjach MiniUPnP wydanych w 2008 i 2009 roku, 14 procent urządzeń UPnP wykorzystujących Internet korzystało z wrażliwej wersji MiniUPnP 1.0, stwierdzili naukowcy z Rapid7.

Inne problemy zostały zidentyfikowane w najnowszej wersji MiniUPnP, 1.4, ale nie zostaną one publicznie ujawnione, dopóki deweloper biblioteki nie wyda poprawki do ich adresowania, powiedzieli.

"Wszystko wskazuje na to, że udało nam się zidentyfikować ponad 6900 wersji produktów, które były podatne na ataki przez UPnP," Moore powiedział. "Ta lista obejmuje ponad 1500 dostawców i uwzględnia jedynie urządzenia, które ujawniły w Internecie usługę UPAPP SOAP, co stanowi poważną lukę w zabezpieczeniach."

Rapid7 opublikował trzy osobne listy produktów narażonych na awarie przenośnych UPnP SDK, MiniUPnP błędy i które ujawniają usługę UPnP SOAP w Internecie.

Belkin, Cisco, Netgear, D-Link i Asus, które wszystkie mają wrażliwe urządzenia zgodnie z listami opublikowanymi przez Rapid7, nie odpowiedziały natychmiast na prośby o komentarz wysłany we wtorek.

Moore uważa, że ​​w większości przypadków urządzenia sieciowe, które nie są już obsługiwane bycie sprzedanym nie zostanie zaktualizowane i pozostanie narażone na zdalne ataki w nieskończoność, chyba że ich właściciele ręcznie wyłączy funkcję UPnP lub je zastąpi.

"Wyniki te dowodzą, że zbyt wielu dostawców wciąż nie nauczyło się podstaw projektowania urządzeń, które domyślnie bezpieczna i niezawodna konfiguracja "- powiedział Thomas Kristensen, dyrektor ds. bezpieczeństwa w firmie badającej i zarządzającej lukami bezpieczeństwa, Secunia. "Urządzenia przeznaczone do bezpośrednich połączeń internetowych nie powinny domyślnie uruchamiać żadnych usług na swoich publicznych interfejsach, w szczególności nie są to usługi takie jak UPnP, które są przeznaczone wyłącznie dla lokalnych" zaufanych "sieci."

Kristensen uważa, że ​​wiele z wrażliwych urządzeń najprawdopodobniej pozostaną niezałatane, dopóki nie zostaną wymienione, nawet jeśli ich producenci udostępnią aktualizacje oprogramowania układowego.

Wielu użytkowników komputerów PC nawet nie aktualizuje oprogramowania na PC, z którego często korzystają i są zaznajomieni, powiedział. Zadanie znalezienia interfejsu sieciowego wrażliwego urządzenia sieciowego, uzyskanie aktualizacji oprogramowania wewnętrznego i przeprowadzenie całego procesu aktualizacji będzie prawdopodobnie zbytnie zastraszające dla wielu użytkowników, powiedział.

Artykuł badawczy Rapid7 zawiera zalecenia bezpieczeństwa dla dostawców usług internetowych, firm i użytkowników domowych.

Zalecono dostawcom usług internetowych przekazywanie aktualizacji konfiguracji lub aktualizacji oprogramowania układowego do urządzeń abonenckich w celu wyłączenia funkcji UPnP lub zastąpienia tych urządzeń innymi, które są skonfigurowane w bezpieczny sposób i nie wystawiają UPnP na działanie Internet.

"Użytkownicy komputerów stacjonarnych i przenośnych powinni upewnić się, że funkcja UPnP na ich domowych routerach i mobilnych urządzeniach szerokopasmowych została wyłączona."

Oprócz upewnienia się, że żadne urządzenie zewnętrzne nie udostępnia UPnP do Internetu, firmom doradzono, aby dokładnie przeanalizowali potencjalny wpływ bezpieczeństwa wszystkich urządzeń obsługujących UPnP, które można znaleźć w ich sieciach - drukarkach sieciowych, kamerach IP, systemy pamięci masowej itd. - i rozważ podzielenie ich na segmenty z sieci wewnętrznej, dopóki producent nie dostarczy aktualizacji oprogramowania układowego.

Rapid7 opublikował bezpłatne narzędzie o nazwie ScanNow dla Universal Plug and Play, a także moduł dla platformy testowania penetracji Metasploit, które można wykorzystać do wykrywania wrażliwych usług UPnP działających w sieci.

Zaktualizowano o 13:45 PT, aby skorygować datę wysłania prośby o komentarz do firm posiadających wrażliwe urządzenia.