Dziesiątki milionów urządzeń podatnych via UPnP

Niedawne badanie firmy rapid7 pokazało pewien interesujący fakt – spora liczba urządzeń dostępnych w Internecie (głównie routery klasy domowej, ale nie tylko) udostępnia na zewnątrz usługę UPnP. W czym problem? Przede wszystkim w znacznej liczbie krytycznych podatności w implementacji obsługi tego protokołu.

Badanie pokazuje aż około 40-50 milionów podatnych urządzeń dostępnych publicznie. Podatności te z kolei prowadzą choćby do możliwości nieuwierzytelnionego dostępu na systemie operacyjnym, na którym pracuje urządzenie. Taki dostęp na naszym sprzęcie to możliwość realizowania dość skutecznego phishingu, wysyłania spamu czy ataków man-in-the-middle (np.: podsłuch /ingerencja w naszą komunikacje do Internetu). A czasem po prostu możliwość łatwego wykorzystania naszego routera w botnecie.

Różne problemy tego typu znane są od dłuższego czasu, niektóre z kolei są nowością. Rapid7 pokazał jednak, że UPnP dość często bywa otwarte publicznie, do czego nie jesteśmy przyzwyczajeni…

Podsumowując:

• W znacznej liczbie urządzeń sieciowych zainstalowana jest nieaktualna bądź bardzo nieaktualna biblioteka i/lub serwer odpowiedzialny z obsługę UPnP (zawierają podatności),
• Mało użytkowników realizuje regularnie aktualizacje firmware-u,
• Usługa UPnP w pewnych przypadkach dostępna jest domyślnie publicznie (zazwyczaj powinna być dostępna tylko w LAN).

Co ciekawe, w jednej z wyżej wskazanych prac: „Universal Plug and Play – Dead simple or simply dead” autorzy piszą tak:

Reaction from vendors/“security experts” after my research in 2006:

The attacks are not remote, but originate from the LAN, which make it difficult to exploit.

No więc:

Not true!

• I virus, spyware, P2P software operate from within LAN and often send random data
• I plenty of open access points (war driving)
• I abuse errors in Flash plugin (shown in January 2008)

Some device (Realtek 865x based) accept UPnP packets on the WAN interface!

Szczególnie ciekawa jest ostatnia, wyróżniona, informacja. Obecnie widać, że problem nie należy do bardzo rzadki.

Jak sprawdzić czy mój router jest podatny?

Można użyć serwisu udostępnionego przez rapid7 (w automatyczny sposób wykonywane jest skanowanie na nasz publiczny adres IP). Tutaj oczywiście uwaga – jeśli jesteśmy podatni – rapid7 też to będzie wiedział. :) Jest również dostępna wersja off-line – napisana w Javie.

Jak się ochronić?

• Wykonać aktualizację firmware-u na routerze (jeśli jest dostępna…),
• Wyłączyć (przynajmniej czasowo) obsługę UPnP,
• Sprawdzić czy UPnP nie jest dostępne na naszym urządzeniu z poziomu Internetu.

— Michał Sajdak michal.sajdak<at>securitum.pl