Fermateci se avete sentito questo prima, ma un ricercatore ha scoperto una nuova vulnerabilità di sicurezza che colpisce molti dispositivi che eseguono il Plug and Play universale (UPnP) protocollo.
Chiamato CallStranger dallo scopritore Yunus Çadırcı, il potenziale di problemi con questo difetto sembra significativo per un intero menu di ragioni, a partire dal gotcha che è UPnP.,
UPnP è stato inventato nella notte dei tempi per innestare l’idea di plug-and-play sul mondo nodoso di home networking.
UPnP significava che gli utenti non dovevano sapere come configurare le porte del router: se il dispositivo e il router di casa supportavano UPnP (spesso attivato per impostazione predefinita), la connettività avveniva automaticamente.
Ma UPnP ha anche permesso a sempre più dispositivi all’interno della rete di connettersi a entità esterne su Internet senza autenticazione, che è dove è iniziato il problema.,
Inserisci CallStranger (CVE-2020-12695), tecnicamente una vulnerabilità nella funzione di sottoscrizione di UPnP che rende possibile ciò che Çadırcı descrive come una vulnerabilità simile a “Server Side Request Forgery (SSRF).”
Un utente malintenzionato in grado di sfruttare questa falla potrebbe usarlo per cooptare dispositivi vulnerabili per attacchi DDoS, bypassare la sicurezza di prevenzione della perdita di dati per sgattaiolare i dati fuori dalle reti, ed eventualmente effettuare la scansione delle porte per sondare i dispositivi UPnP esposti.
Quali dispositivi sono interessati?,
Potenzialmente un gran numero di dispositivi con UPnP abilitato, che comprende router domestici, modem, smart TV, stampanti, fotocamere e gateway multimediali. E ‘ stato anche abilitato su un sacco di quello che potrebbe vagamente essere chiamato Internet of Things (IoT) prodotti, così come i principali sistemi operativi come Windows 10, e anche la console Xbox games.
Un elenco di dispositivi vulnerabili noti e sospetti è disponibile sul sito web pubblicitario di CallStranger, ma sarebbe saggio non presumere che questo sia definitivo (è disponibile uno script per sondare la rete per i dispositivi vulnerabili).,
L’unico stack UPnP che non è interessato è MiniUPnP, che viene utilizzato in un pezzo considerevole di router domestici. Il problema è che non è facile dire quali dispositivi utilizzano questo e quali no.
Windows 10 1903 build 10.0.18362.719 si dice che sia vulnerabile, che per i consumatori sarebbe stato aggiornato a 10.0.18363.836 a maggio.
Çadırcı ha segnalato il difetto al gruppo che si occupa di UPnP, la Open Connectivity Foundation (OCF), a dicembre, e afferma di aver inviato e ricevuto centinaia di e-mail come parte dello sforzo di coordinare una risposta del fornitore.,
L’OCF ha aggiornato le specifiche UPnP il 17 aprile, il che significa che i dispositivi progettati dopo non dovrebbero essere vulnerabili al problema. Çadırcı dice:
Gli utenti domestici non dovrebbero essere presi di mira direttamente. Se i loro dispositivi rivolti a Internet hanno endpoint UPnP, i loro dispositivi possono essere utilizzati per l’origine DDoS.
Tuttavia, miliardi di dispositivi UPnP dovranno ancora essere patchati., In alcuni casi ciò accadrà ma non trattenere il respiro; molti dispositivi vulnerabili probabilmente non riceveranno mai un aggiornamento o ne riceveranno uno che non verrà applicato.
Ecco perché è importante mitigare il problema almeno disattivando UPnP se non viene utilizzato, qualcosa che Naked Security ha raccomandato dopo precedenti spaventi UPnP. Il modo in cui gli utenti lo fanno varia da dispositivo a dispositivo, ma per i router l’impostazione verrà sepolta da qualche parte nelle impostazioni dell’interfaccia Web.,
Questi includono l’attacco UPnProxy sui router scoperti da Akamai nel 2018, il malware Pinkslipbot (aka QakBot/QBot) nel 2017 e le vulnerabilità Unplug Don’t Play di HD Moore nel 2013 (quest’ultimo fa eco al famigerato worm Conficker del 2008).