arrêtez-nous si vous avez déjà entendu cela, mais un chercheur a découvert une nouvelle vulnérabilité de sécurité affectant de nombreux appareils exécutant le protocole Universal Plug And Play (UPnP).

nommé CallStranger par le découvreur Yunus Çadırcı, le potentiel de problèmes avec cette faille semble important pour tout un menu de raisons, à commencer par le fait que C’est UPnP.,

UPnP a été inventé dans la nuit des temps pour greffer l’idée de plug-and-play sur le monde noueux du réseau domestique.

UPnP signifiait que les utilisateurs n’avaient pas à savoir comment configurer les ports du routeur – si le périphérique et le routeur domestique prenaient en charge UPnP (souvent activé par défaut), la connectivité se produisait automatiquement.

Mais UPnP a également permis à de plus en plus de périphériques à l’intérieur du réseau de se connecter à des entités externes sur internet sans authentification, c’est là que le problème a commencé.,

entrez CallStranger (CVE-2020-12695), techniquement une vulnérabilité dans la fonction SUBSCRIBE D’UPnP qui rend possible ce que Çadırcı décrit comme une « vulnérabilité de type SSRF (Server Side Request Forgery). »

un attaquant capable d’exploiter cette faille pourrait l’utiliser pour coopter des appareils vulnérables aux attaques DDoS, contourner la sécurité de prévention des pertes de données pour extraire les données des réseaux et éventuellement effectuer une analyse de port pour rechercher des appareils UPnP exposés.

quels appareils sont affectés?,

potentiellement un grand nombre d’appareils avec UPnP activé, ce qui inclut les routeurs domestiques, les modems, les téléviseurs intelligents, les imprimantes, les caméras et les passerelles multimédias. Il a également été activé sur de nombreux produits que l’on pourrait vaguement appeler Internet des objets (IoT), ainsi que sur les principaux systèmes d’exploitation tels que Windows 10 et même la console de jeux Xbox.

Une liste des périphériques vulnérables connus et suspectés est disponible sur le site Web de publicité CallStranger, mais il serait sage de ne pas supposer que cela est définitif (un script est disponible pour interroger le réseau pour les périphériques vulnérables).,

la pile UPnP qui n’est pas affectée est MiniUPnP, qui est utilisée dans un nombre important de routeurs domestiques. Le problème est qu’il n’est pas facile de dire quels appareils utilisent cela et lesquels ne le font pas.

Windows 10 1903 build 10.0.18362.719 est dit vulnérable, ce qui pour les consommateurs aurait été mis à jour vers 10.0.18363.836 en mai.

Çadırcı a signalé la faille au groupe qui s’occupe D’UPnP, L’Open Connectivity Foundation (OCF), en décembre, et dit qu’il a depuis envoyé et reçu des centaines d’e-mails dans le cadre de l’effort de coordination d’une réponse du fournisseur.,

L’OCF a mis à jour la spécification UPnP le 17 avril, ce qui signifie que les appareils conçus après cela ne devraient pas être vulnérables au problème. Çadırcı dit:

les utilisateurs à Domicile ne devraient pas être directement ciblées. Si leurs appareils connectés à internet ont des points de terminaison UPnP, ils peuvent être utilisés pour la source DDoS.

néanmoins, des milliards de périphériques UPnP devront encore être corrigés., Dans certains cas, cela se produira mais ne retenez pas votre souffle; de nombreux appareils vulnérables ne recevront probablement jamais de mise à jour ou en recevront une qui ne sera pas appliquée.

c’est pourquoi il est important d’atténuer le problème en désactivant au moins UPnP s’il n’est pas utilisé, ce que Naked Security a recommandé après les précédentes alertes UPnP. La façon dont les utilisateurs le font varie d’un appareil à l’autre, mais pour les routeurs, le paramètre sera enfoui quelque part dans les paramètres de l’interface web.,

ceux-ci incluent L’attaque UPnProxy sur les routeurs découverte par Akamai en 2018, le malware Pinkslipbot (alias QakBot / QBot) en 2017, et les vulnérabilités Unplug Don’t Play DE HD Moore en 2013 (ce dernier faisant écho au tristement célèbre ver Conficker de 2008).