Deténganos si ha escuchado esto antes, pero un investigador ha descubierto una nueva vulnerabilidad de seguridad que afecta a muchos dispositivos que ejecutan el protocolo Universal Plug and Play (UPnP).
llamado CallStranger por el descubridor Yunus Çadırcı, el potencial de problemas con este defecto parece significativo por todo un menú de razones, comenzando con la idea de que es UPnP.,
UPnP se inventó en la niebla del tiempo para injertar la idea de plug-and-play en el anudado mundo de las redes domésticas.
UPnP significaba que los usuarios no tenían que saber cómo configurar los puertos del enrutador: si el dispositivo y el enrutador doméstico soportaban UPnP (a menudo activado de forma predeterminada), la conectividad se producía automáticamente.
pero UPnP también permitió que más y más dispositivos dentro de la red se conectaran a entidades externas en internet sin autenticación, que es donde comenzó el problema.,
Enter CallStranger (CVE-2020-12695), técnicamente una vulnerabilidad en la función de suscripción de UPnP que hace posible lo que Çadırcı describe como una «vulnerabilidad similar a la falsificación de solicitudes del lado del servidor (SSRF).»
Un atacante capaz de explotar este defecto podría usarlo para cooptar dispositivos vulnerables para ataques DDoS, omitir la seguridad de prevención de pérdida de datos para sacar datos de las redes y, posiblemente, llevar a cabo el escaneo de puertos para detectar dispositivos UPnP expuestos.
¿qué dispositivos se ven afectados?,
potencialmente un gran número de dispositivos con UPnP habilitado, que incluye enrutadores domésticos, módems, televisores inteligentes, impresoras, cámaras y pasarelas de medios. También se ha habilitado en muchos de lo que podría denominarse productos de Internet de las Cosas (IoT), así como en los principales sistemas operativos como Windows 10 e incluso la consola de juegos Xbox.
una lista de dispositivos vulnerables conocidos y sospechosos está disponible en el Sitio Web de publicidad CallStranger, pero sería prudente no asumir que esto es definitivo (un script está disponible para sondear la red para dispositivos vulnerables).,
La pila UPnP que no se ve afectada es MiniUPnP, que se utiliza en una parte considerable de routers domésticos. El problema es que no es fácil saber qué dispositivos usan esto y cuáles no.
Windows 10 1903 build 10.0.18362.719 se dice que es vulnerable, que para los consumidores se habría actualizado a 10.0.18363.836 en mayo.
Çadırcı informó de la falla al grupo que cuida de UPnP, la Open Connectivity Foundation (OCF), en diciembre, y dice que desde entonces ha enviado y recibido cientos de correos electrónicos como parte del esfuerzo para coordinar una respuesta del proveedor.,
la OCF actualizó la especificación UPnP el 17 de abril, lo que significa que los dispositivos diseñados después de eso no deberían ser vulnerables al problema. Çadırcı dice:
no se espera que los usuarios domésticos sean dirigidos directamente. Si sus dispositivos orientados a internet tienen endpoints UPnP, sus dispositivos se pueden usar para la fuente DDoS.
sin embargo, miles de millones de dispositivos UPnP todavía tendrán que ser parcheados., En algunos casos, eso sucederá pero no contenga la respiración; muchos dispositivos vulnerables probablemente nunca recibirán una actualización o recibirán una que no se aplicará.
Es por eso que es importante mitigar el problema al menos desactivando UPnP si no se está utilizando, algo que Naked Security ha recomendado después de sustos UPnP anteriores. La forma en que los usuarios hacen esto variará de un dispositivo a otro, pero para los enrutadores la configuración se enterrará en algún lugar de la configuración de la interfaz web.,
Estos incluyen el ataque UPnProxy a routers descubierto por Akamai en 2018, el malware Pinkslipbot (también conocido como QakBot / QBot) en 2017 y las vulnerabilidades Unplug Don’t Play de HD Moore en 2013 (este último haciéndose eco del infame gusano Conficker de 2008).