Ricercatore: difetti UPnP espongono milioni di dispositivi in ​​rete a attacchi remoti

Decine di milioni di dispositivi abilitati alla rete tra cui router, stampanti, server multimediali, telecamere IP, smart TV e altro ancora possono essere attaccati su Internet a causa di errori pericolosi nella loro implementazione dello standard di protocollo UPnP (Universal Plug and Play), ricercatori di sicurezza di Rapid7 ha dichiarato martedì in un documento di ricerca.

UPnP consente ai dispositivi in ​​rete di scoprirsi a vicenda e di stabilire automaticamente configurazioni funzionanti che consentono la condivisione dei dati, lo streaming multimediale, i media p controllo di layback e altri servizi. In uno scenario comune un'applicazione di condivisione file in esecuzione su un computer può dire a un router tramite UPnP di aprire una porta specifica e mapparla all'indirizzo di rete locale del computer per poter aprire il proprio servizio di condivisione file agli utenti di Internet.

UPnP è destinato ad essere utilizzato principalmente all'interno di reti locali. Tuttavia, i ricercatori di sicurezza di Rapid7 hanno trovato oltre 80 milioni di indirizzi IP (Internet Protocol) pubblici unici che rispondevano alle richieste di scoperta UPnP su Internet, durante le scansioni eseguite lo scorso anno da giugno a novembre.

[Ulteriori letture: Come rimuovere il malware da il tuo PC Windows]

Inoltre, hanno scoperto che il 20 percento, o 17 milioni, di quegli indirizzi IP corrispondevano a dispositivi che esponevano il servizio UPnP SOAP (Simple Object Access Protocol) a Internet. Questo servizio può consentire agli aggressori di individuare i sistemi dietro il firewall ed esporre informazioni sensibili su di essi, hanno affermato i ricercatori di Rapid7.

Sulla base delle risposte di scoperta UPnP i ricercatori sono stati in grado di rilevare con impronta dispositivi unici e scoprire quale libreria UPnP stavano utilizzando. Hanno scoperto che più di un quarto di loro aveva implementato UPnP tramite una libreria denominata Portable UPnP SDK.

Otto IDE vulnerabili in remoto sono state identificate nell'SDK UPnP portatile, incluse due che possono essere utilizzate per l'esecuzione di codice in modalità remota, hanno affermato i ricercatori.

"Le vulnerabilità che abbiamo identificato nell'SDK UPnP portatile sono state risolte dalla versione 1.6.18 (rilasciata oggi), ma ci vorrà molto tempo prima che ciascuno dei fornitori di applicazioni e dispositivi incorpori questa patch nei propri prodotti, "HD Moore, chief security officer di Rapid7, ha dichiarato martedì in un post sul blog.

Oltre 23 milioni di indirizzi IP di quelli identificati durante le scansioni corrispondono a dispositivi che possono essere compromessi dalle vulnerabilità di UPnP SDK Portable inviando un singolo appositamente creato Pacchetto UDP per loro, secondo Moore.

Altre vulnerabilità, incluse quelle che possono essere utilizzate in attacchi di tipo Denial of Service e Remote Code Esecuzione, esistono anche in una libreria UPnP ca lled MiniUPnP. Anche se queste vulnerabilità sono state affrontate nelle versioni MiniUPnP rilasciate nel 2008 e nel 2009, il 14% dei dispositivi UPnP esposti a Internet utilizzavano la vulnerabile versione MiniUPnP 1.0, hanno affermato i ricercatori di Rapid7.

Altri problemi sono stati identificati nell'ultima versione di MiniUPnP, 1.4, ma non saranno divulgati pubblicamente fino a quando lo sviluppatore della libreria non rilascerà una patch per affrontarli, hanno detto.

"Tutto sommato, siamo stati in grado di identificare oltre 6.900 versioni di prodotto che erano vulnerabili tramite UPnP" Disse Moore. "Questo elenco comprende oltre 1.500 fornitori e ha preso in considerazione solo i dispositivi che hanno esposto il servizio SOnP UPnP a Internet, una grave vulnerabilità di per sé."

Rapid7 ha pubblicato tre distinti elenchi di prodotti vulnerabili ai difetti di UPnP SDK Portable, MiniUPnP difetti e che espongono il servizio SOnP UPnP a Internet.

Belkin, Cisco, Netgear, D-Link e Asus, che hanno tutti i dispositivi vulnerabili secondo gli elenchi pubblicati da Rapid7, non hanno risposto immediatamente alle richieste di commenti inviati martedì.

Moore ritiene che nella maggior parte dei casi i dispositivi in ​​rete non siano più la vendita non verrà aggiornata e rimarrà esposta agli attacchi remoti a tempo indeterminato, a meno che i proprietari non disabilitino manualmente la funzionalità UPnP o li sostituiscano.

"Questi risultati dimostrano che troppi distributori non hanno ancora appreso le nozioni di base sulla progettazione di dispositivi predefiniti una configurazione sicura e robusta ", ha dichiarato Thomas Kristensen, responsabile della sicurezza presso la società di gestione delle vulnerabilità Secunia. "I dispositivi destinati a connessioni Internet dirette non devono eseguire alcun servizio sulle loro interfacce pubbliche per impostazione predefinita, in particolare non servizi come UPnP, destinati esclusivamente alle reti locali" di fiducia ".

Kristensen ritiene che molti dei dispositivi vulnerabili è probabile che rimangano senza patch fino alla loro sostituzione, anche se i loro produttori rilasciano gli aggiornamenti del firmware.

Molti utenti di PC non aggiornano nemmeno il software per PC che usano frequentemente e hanno familiarità con lui. Il compito di trovare l'interfaccia Web di un dispositivo in rete vulnerabile, ottenere l'aggiornamento del firmware e passare attraverso l'intero processo di aggiornamento sarà probabilmente troppo intimidatorio per molti utenti, ha detto.

Il documento di ricerca Rapid7 include consigli sulla sicurezza per i provider di servizi Internet, le aziende e gli utenti domestici.

Gli ISP sono stati invitati a inviare aggiornamenti di configurazione o aggiornamenti del firmware ai dispositivi degli abbonati al fine di disabilitare le funzionalità UPnP o di sostituire tali dispositivi con altri configurati in modo sicuro e non esporre UPnP al Internet.

"Gli utenti di PC domestici e domestici dovrebbero assicurarsi che la funzione UPnP sui router domestici e sui dispositivi mobili a banda larga sia stata disattivata", hanno affermato i ricercatori.

Oltre a garantire che nessun dispositivo rivolto verso l'esterno esponga UPnP a Internet, le aziende sono state informate di eseguire un'attenta revisione del potenziale impatto sulla sicurezza di tutti i dispositivi compatibili con UPnP presenti sulle loro reti: stampanti in rete, telecamere IP, sistemi di storage, eccetera - e prendere in considerazione la possibilità di segmentarli dalla rete interna fino a quando non sarà disponibile un aggiornamento del firmware dal produttore.

Rapid7 ha rilasciato uno strumento gratuito chiamato ScanNow per Universal Plug and Play, nonché un modulo per il framework di test di penetrazione Metasploit, che può essere utilizzato per rilevare i servizi UPnP vulnerabili in esecuzione all'interno di una rete.

Aggiornato alle 13:45 PT per correggere la data in cui le richieste di commenti sono state inviate alle aziende con dispositivi vulnerabili.