Il difetto UPnP espone milioni di dispositivi di rete ad attacchi su Internet

64

Milioni di router, stampanti e altri dispositivi possono essere requisiti in remoto da un nuovo attacco che sfrutta un difetto di sicurezza nel protocollo di rete Plug and Play universale, ha affermato un ricercatore.

CallStranger, come è stato chiamato l’exploit, è particolarmente utile per costringere un gran numero di dispositivi a partecipare ad attacchi DDoS (Distributed Denial of Service) che travolgono obiettivi di terze parti con traffico spazzatura. CallStranger può anche essere utilizzato per esfiltrare i dati all’interno delle reti anche quando sono protetti da strumenti di prevenzione della perdita di dati progettati per prevenire tali attacchi. L’exploit consente inoltre agli aggressori di scansionare le porte interne che altrimenti sarebbero invisibili perché non esposte a Internet.

Miliardi di router e altri cosiddetti dispositivi Internet delle cose sono suscettibili a CallStranger, ha scritto durante il fine settimana Yunus Çadırcı, un ricercatore turco che ha scoperto la vulnerabilità e ha scritto il codice di attacco proof-of-concept che lo sfrutta. Affinché l’exploit funzioni effettivamente, tuttavia, un dispositivo vulnerabile deve avere UPnP, come è noto il protocollo, esposto su Internet. Tale vincolo significa che solo una parte dei dispositivi vulnerabili è effettivamente sfruttabile.

Ancora pericoloso dopo tutti questi anni

Il protocollo UPnP, vecchio di 12 anni, semplifica il compito di connettere i dispositivi consentendo loro di trovarsi automaticamente su una rete. Lo fa utilizzando i protocolli HTTP, SOAP e XML per pubblicizzarsi e scoprire altri dispositivi su reti che utilizzano il protocollo Internet.

Sebbene l’automazione possa eliminare il problema dell’apertura manuale di porte di rete specifiche utilizzate da diversi dispositivi per comunicare, UPnP nel corso degli anni ha aperto gli utenti a una varietà di attacchi. Nel 2013, una scansione a livello di Internet ha rilevato che UPnP stava rendendo visibili più di 81 milioni di dispositivi a persone al di fuori delle reti locali. La scoperta è stata una sorpresa perché il protocollo non dovrebbe comunicare con dispositivi esterni. L’esposizione è stata in gran parte il risultato di diverse librerie di codici comuni che hanno monitorato tutte le interfacce per i pacchetti User Datagram Protocol anche se configurate per l’ascolto solo su quelle interne.

A novembre 2018, i ricercatori hanno rilevato due attacchi in natura che hanno preso di mira i dispositivi che utilizzano UPnP. Uno utilizzava un’implementazione UPnP difettosa nei chip Broadcom per convogliare 100.000 router in una botnet. L’altro, utilizzato contro 45.000 router, ha sfruttato i difetti in una diversa implementazione UPnP per aprire le porte che sono state determinanti nella diffusione di EternalRed ed EternalBlue, il potente attacco di Windows che è stato sviluppato e successivamente rubato dalla NSA.

Iscriviti ora

CallStranger consente a un utente remoto e non autenticato di interagire con dispositivi che dovrebbero essere accessibili solo all’interno delle reti locali. Un uso dell’exploit è indirizzare grandi quantità di traffico spazzatura verso destinazioni scelte dall’attaccante. Poiché l’output inviato alle destinazioni designate dall’attaccante è molto più grande della richiesta avviata dall’attaccante, CallStranger fornisce un modo particolarmente efficace per amplificare le risorse dell’attaccante. Altre funzionalità includono l’enumerazione di tutti gli altri dispositivi UPnP sulla rete locale e l’esfiltrazione dei dati archiviati nella rete, in alcuni casi anche se protetti da strumenti di prevenzione della perdita di dati.

La vulnerabilità è tracciata come CVE-2020-12695 e gli avvisi sono qui e qui. Çadırcı ha pubblicato uno script PoC che dimostra le capacità di CallStranger qui.

L’exploit funziona abusando della funzionalità UPnP SUBSCRIBE, che i dispositivi utilizzano per ricevere notifiche da altri dispositivi quando si verificano determinati eventi, come la riproduzione di un video o di un brano musicale. In particolare, CallStranger invia richieste di abbonamento che falsificano l’URL che deve ricevere la “richiamata” risultante.

Per eseguire DDoSe, CallStranger invia una raffica di richieste di abbonamento che falsificano l’indirizzo di un sito di terze parti su Internet. Quando l’attacco viene eseguito all’unisono con altri dispositivi, i lunghi callback bombardano il sito con un torrente di traffico spazzatura. Negli altri casi l’URL che riceve la richiamata punta a un dispositivo all’interno della rete interna. Le risposte possono creare una condizione simile alla contraffazione di una richiesta lato server, che consente agli aggressori di hackerare i dispositivi interni che si trovano dietro i firewall di rete.

Annuncio

I dispositivi che Çadırcı ha confermato essere vulnerabili sono:

  • Windows 10 (probabilmente tutte le versioni di Windows inclusi i server) – upnphost.dll 10.0.18362.719
  • Xbox One – Versione del sistema operativo 10.0.19041.2494
  • Scatola ADB TNR-5720SX (TNR-5720SX/v16.4-rc-371-gf5e2289 UPnP/1.0 BH-upnpdev/2.0)
  • Asus Asus Media Streamer
  • Asus Rt-N11
  • Belkin WeMo
  • Modem ADSL Broadcom
  • Stampante Canon SELPHY CP1200
  • Cisco X1000 – (LINUX/2.4 UPnP/1.0 BRCM400/1.0)
  • Cisco X3500 – (LINUX/2.4 UPnP/1.0 BRCM400/1.0)
  • Router WPS D-Link DVG-N5412SP (OS 1.0 UPnP/1.0 Realtek/V1.3)
  • Serie EPSON EP, EW, XP (EPSON_Linux UPnP/1.0 Epson UPnP SDK/1.0)
  • HP Deskjet, Photosmart, Officejet serie ENVY (POSIX, UPnP/1.0, Intel MicroStack/1.0.1347)
  • Router Huawei HG255s – Firmware HG255sC163B03 (ATP UPnP Core)
  • Router NEC AccessTechnica WR8165N (OS 1.0 UPnP/1.0 Realtek/V1.3)
  • Philips 2k14MTK TV- Firmware TPL161E_012.003.039.001
  • TV Samsung UE55MU7000 – FirmwareT-KTMDEUC-1280.5, BT – S
  • TV Samsung MU8000
  • TP-Link TL-WA801ND (Linux/2.6.36, UPnP/1.0, Portable SDK per dispositivi UPnP/1.6.19)
  • Trendnet TV-IP551W (OS 1.0 UPnP/1.0 Realtek/V1.3)
  • Zyxel VMG8324-B10A (LINUX/2.6 UPnP/1.0 BRCM400-UPnP/1.0)

Çadırcı ha riferito le sue scoperte alla Open Connectivity Foundation, che mantiene il protocollo UPnP, e la fondazione ha aggiornato le specifiche sottostanti per correggere il difetto. Gli utenti possono verificare con sviluppatori e produttori per scoprire se o quando sarà disponibile una patch. Una percentuale significativa di dispositivi IoT non riceve mai aggiornamenti dai produttori, il che significa che la vulnerabilità continuerà a vivere per un po’ di tempo.

Come sempre, la migliore difesa è disabilitare del tutto UPnP. La maggior parte dei router lo consente deselezionando una casella nel menu delle impostazioni. Per coloro che insistono nel mantenere attivo UPnP, utilizzare un sito come questo per assicurarsi che il router non esponga porte sensibili. Gli utenti UPnP con esperienza e capacità possono anche controllare periodicamente i log per rilevare gli exploit.