Forsker: UPnP-fejl afslører millioner af netværksenheder til fjernangreb

UPnP tillader netværkede enheder at opdage hinanden og automatisk etablere arbejdskonfigurationer, der gør det muligt at dele data, media streaming, medier p layback kontrol og andre tjenester. I et fælles scenario kan en fildelingsprogram, der kører på en computer, fortælle en router via UPnP at åbne en bestemt port og kortlæg den på computerens lokale netværksadresse for at åbne dens fildelingstjeneste til internetbrugere.

UPnP er beregnet til at blive brugt primært inden for lokale netværk. Sikkerhedsforskere fra Rapid7 fandt imidlertid over 80 millioner unikke offentlige IP-adresser (Internet Protocol), der reagerede på UPnP-opdagelsesanmodninger via internettet under scanninger udført sidste år fra juni til november.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Desuden fandt de, at 20 procent eller 17 millioner af disse IP-adresser svarede til enheder, der udsatte tjenesten UPnP SOAP (Simple Object Access Protocol) til internettet. Denne tjeneste kan give angriberne mulighed for at målrette systemer bag brandvæsenet og udsætter følsomme oplysninger om dem, siger Rapid7-forskerne.

På baggrund af UPnP-registreringssvarene kunne forskerne fingre udskrive unikke enheder og opdage, hvilket UPnP-bibliotek de brugte. De fandt ud af, at over en fjerdedel af dem havde UPnP implementeret gennem et bibliotek kaldet Portable UPnP SDK.

Der er blevet identificeret otte fjernudnyttelige sårbarheder i den bærbare UPnP SDK, herunder to, der kan bruges til fjernkørsel af fjernkoden, sagde forskerne.

"Sårbarhederne, vi identificerede i den bærbare UPnP SDK, er blevet rettet ud fra version 1.6.18 (udgivet i dag), men det tager lang tid før hver af applikationerne og enhedsleverandørerne indarbejder denne patch i deres produkter, "HD Moore, chefssikkerhedsofficer i Rapid7, sagde tirsdag i et blogindlæg.

Over 23 millioner IP-adresser fra dem, der blev identificeret under scanningen, svarede til enheder, der kan blive kompromitteret gennem bærbare UPnP SDK-sårbarheder ved at sende en enkelt specifikt udformet UDP-pakke til dem, ifølge Moore.

Ekstra sårbarheder, herunder dem, der kan bruges til benægtelse af tjenesten og fjernekodeudførselsangreb, findes også i et UPnP-bibliotek ca. lled MiniUPnP. Selv om disse sårbarheder er blevet behandlet i MiniUPnP-versioner, der blev udgivet i 2008 og 2009, brugte 14 procent af de internet-udsatte UPnP-enheder den sårbare MiniUPnP 1.0-version, sagde Rapid7-forskerne.

Andre problemer er blevet identificeret i den nyeste version af MiniUPnP, 1.4, men de bliver ikke offentliggjort, før bibliotekets udvikler udsender en patch til at adressere dem. De sagde.

"Alt sagt kunne vi identificere mere end 6.900 produktversioner, der var sårbare gennem UPnP" Moore sagde. "Denne liste omfatter mere end 1.500 leverandører, og kun tog hensyn til enheder, der eksponerede UPnP SOAP-tjenesten til internettet, en alvorlig sårbarhed i sig selv."

Rapid7 offentliggjorde tre separate lister over produkter, der er sårbare over for bærbare UPnP SDK-fejl, MiniUPnP fejl, og som udsætter UPnP SOAP-tjenesten til internettet.

Belkin, Cisco, Netgear, D-Link og Asus, som alle har sårbare enheder ifølge lister udgivet af Rapid7, reagerede ikke straks på anmodninger om kommentar sendt tirsdag.

Moore mener, at i de fleste tilfælde netværksenheder, der ikke længere er at blive solgt vil ikke blive opdateret og vil forblive udsat for fjernbetjeninger på ubestemt tid, medmindre deres ejere manuelt deaktiverer UPnP-funktionaliteten eller erstatter dem.

"Disse resultater viser, at for mange leverandører stadig ikke har lært det grundlæggende ved at designe enheder, der er standard til en sikker og robust konfiguration ", siger Thomas Kristensen, chef sikkerhedsansvarlig for sårbarhedsforskning og managementfirma Secunia. "Enheder, der er beregnet til direkte internetforbindelser, bør som standard ikke udføre tjenester på deres offentlige grænseflader, især ikke tjenester som UPnP, der udelukkende er beregnet til lokale" betroede "netværk."

Kristensen mener, at mange af de sårbare enheder vil sandsynligvis forblive upatchet, indtil de udskiftes, selvom deres producenter frigiver firmwareopdateringer.

Mange pc-brugere opdaterer ikke engang pc-software, som de ofte bruger og er bekendt med, sagde han. Opgaven med at finde webgrænsefladen for en sårbar netværksenhed, opnåelse af firmwareopdateringen og gennemgå hele opdateringsprocessen vil sandsynligvis være for skræmmende for mange brugere, siger han.

Rapid7-forskningsdokumentet indeholder sikkerhedsanbefalinger til internetudbydere, virksomheder og hjemmebrugere.

Internetudbydere blev opfordret til at skubbe konfigurationsopdateringer eller firmwareopdateringer til abonnentenheder for at deaktivere UPnP-funktioner eller at erstatte disse enheder med andre, der er konfigureret på en sikker måde og ikke udsætte UPnP for Internet.

"Hjemme og mobile pc-brugere bør sikre, at UPnP-funktionen på deres hjemme-routere og mobilt bredbåndsenheder er blevet deaktiveret," siger forskerne.

Ud over at sikre, at ingen eksternt vendende enhed udsætter UPnP til internettet blev virksomheder anbefalet at foretage en omhyggelig gennemgang af den potentielle sikkerhedseffekt af alle UPnP-kompatible enheder, der findes på deres netværk - netværksprintere, IP-kameraer, lagringssystemer osv. - og overveje at segmentere dem fra det interne netværk, indtil en firmwareopdatering er tilgængelig fra producenten.

Rapid7 udgav et gratis værktøj kaldet ScanNow for Universal Plug and Play samt et modul til Metasploit penetration testrammen, der kan bruges til at registrere sårbare UPnP-tjenester, der kører i et netværk.

Opdateret kl. 13.45 PT for at rette op på den dato, hvor anmodninger om kommentarer blev sendt til virksomheder med sårbare enheder.