Möglicherweise haben Sie den Begriff“ Plug and Play “ schon einmal gehört. Im Allgemeinen umfasst der Begriff ein Gerät, das ohne Benutzerkonfiguration verwendet werden kann, was eine reibungslose und einfache Einrichtung und kontinuierliche Nutzung während der gesamten Lebensdauer des Geräts ermöglicht. Obwohl dies zunächst gut klingen mag, hat das universelle Plug-and-Play-oder UPnP-Protokoll während seiner gesamten Lebensdauer genügend Kontroversen ausgelöst und wurde von Malware betroffen, die ein ganzes Heimnetzwerk betreffen kann.
Was genau ist UPnP?,
UPnP steht für Universal Plug and Play und wurde ursprünglich für Heimnetzwerke und kleine Unternehmen entwickelt, um die Konfiguration neuer Geräte für das Netzwerk zu vereinfachen. Praktisch jedes Gerät von Smart-TVs wie Roku und Apple TV, Remote Home Surveillance, Home Assistants wie Google Home und Amazon Alexa, IoT-Geräte wie Thermostate und Schlösser, Spielekonsolen, Drucker, Lautsprecher und viele mehr nutzen UPnP.
Mit UPnP können Geräte im Netzwerk das Vorhandensein anderer Geräte erkennen. Ohne sie ist es immer noch möglich, die Geräte zwischen den Dingen im Netzwerk zu teilen., Dieses Protokoll erleichtert in erster Linie die Erkennung von Geräten im Netzwerk und ist für diese lokale Erkennung nicht mehr erforderlich.
Für diese automatische Erkennung in Netzwerken wie mDNS, Avahi und Bonjour werden in der Regel modernere Protokolle unterstützt. Der Hauptzweck des UPnP-Protokolls besteht darin, Löcher in die Firewall eines Routers zu stecken, damit andere Computer mit dem System hinter einem NAT-konfigurierten Router sprechen können.,
UPnP ist leicht ausnutzbar
UPnP ermöglicht auch unerwünschten Datenverkehr zwischen Geräten ohne irgendeine Form von Authentifizierung oder Überprüfung, und das ist, was lässt sie offen für die Nutzung. Als es ursprünglich erstellt wurde, wurde UPnP auf LAN-Ebene ausgeführt. Das bedeutete, dass jedes Gerät im Heimnetzwerk eine Verbindung herstellen konnte, nicht nur der Router.,
Die meisten Router werden standardmäßig mit aktiviertem UPnP ausgeliefert, um es dem Benutzer einfacher zu machen; UPnP befindet sich auf dem Router, um das automatische Öffnen von Ports nach außen zu erleichtern, um direkte Verbindungen zwischen Dingen zu ermöglichen, z. B. zwei Xboxen, damit sie Spiele ohne Server eines Drittanbieters zusammen spielen können. Das Aktivieren von UPnP für diese Funktionalität kann jedoch auch zu großen Sicherheitsproblemen führen.
Da UPnP in den meisten Fällen keine Autorisierung oder Authentifizierung benötigt, geht ein aktivierter Router automatisch davon aus, dass alle Geräte, die versuchen, eine Verbindung herzustellen, sicher sind., Dies ist nicht immer der Fall. Diese Funktionalität könnte theoretisch einen Hacker in Ihr Netzwerk mit Leichtigkeit ermöglichen und ihnen den Fernzugriff auf andere Geräte im Netzwerk ermöglichen, Proxy ihren Verkehr mit Ihrem Router, nutzen Sie Ihr Netzwerk in DDoS-Attacken, und vieles mehr.
Eine UPnP-Funktion namens SUBSCRIBE ermöglicht die Verarbeitung erheblicher Datenmengen durch diese Geräte, was zu einem DDoS-Angriff (Distributed Denial of Service) führt. Die großflächige Sicherheitsanfälligkeit wurde mit der Eintragsnummer CVE-2020-12695 versehen, die jetzt CallStranger heißt.,
Der von CallStranger verursachte DDoS-Angriff wird ausgeführt, indem Geräte davon überzeugt werden, Statusaktualisierungen und regelmäßige Fähigkeitsankündigungen an Dritte zu senden. Dies summiert sich schnell mit der schieren Anzahl von Geräten, die ein DDoS eines Remote-Zieldienstes verursachen, aber die Geräte selbst werden weitgehend unberührt bleiben.
Das Erkennen des CallStranger-Exploits ist aus diesem Grund schwierig, sodass Minim die übermäßige Aktivität, die es verursacht, und nicht die Malware selbst aufgreift., Laut Sam Stelfox, einem Software-Ingenieur bei Minim, können Benutzer feststellen, ob CallStranger von einer Netzwerkverlangsamung betroffen ist: „Es könnte auch möglicherweise mit anderen Sicherheitslücken auf einem Gerät verbunden sein, um noch mehr Schaden anzurichten.“
CallStranger: Ein UPnP-Exploit
CallStranger nutzt eine Sicherheitslücke im universellen Plug-and-Play-Netzwerkprotokoll aus und wurde erstmals von Yunus Çadırcı, dem Senior Manager für Cybersicherheit bei EY Turkey, gemeldet., Die Sicherheitsanfälligkeit kann verwendet werden, um:
- Bypass DLP-und Netzwerksicherheitsgeräte, um Daten zu stehlen
- Nutzen Sie Millionen von internetfähigen UPnP-fähigen Geräten als Quelle für verstärkte reflektierte TCP-DDoS
- Scannen interner Ports von internetfähigen UPnP-Geräten
Çadırcı spekuliert, dass es lange dauern kann, bis Anbieter die erforderlichen Patches bereitstellen, um zu verhindern, dass Malware das Protokoll ausnutzt, da es sich um ein Problem mit dem Protokoll selbst handelt, und nicht um plattform-oder softwarespezifisches Problem., Die gute Nachricht für den technisch Fortgeschrittenen ist jedoch, dass er ein Skript entwickelt hat, um nach Malware zu suchen.
Wenn UPnP so leicht ausgenutzt wird, warum verwenden wir es immer noch?
Einige Kunden von Minim verwenden das UPnP-Protokoll immer noch, nur weil es laut Stelfox unvermeidlich ist.
„Viele Multiplayer-Spiele und Spielsysteme erfordern UPnP, damit sie sich direkt miteinander verbinden können“, sagt er., „Triple-A – Spieletitel und-Spiele mit dedizierten Servern sind dies im Allgemeinen nicht, aber selbst solche haben Ausnahmen, da direkte Peer-to-Peer-Interaktionen wie diese wesentlich einfacher zu verwalten und zu warten sind als zentrale Dienste.“
Stelfox sagt, dass Benutzer, die UPnP-Dienste deaktivieren, keinen Unterschied in der Leistung bemerken, aber dass sie mehr als wahrscheinlich bemerken werden, wenn sie eine Vielzahl von Multiplayer-Spielen spielen. Einige Gaming-Plattformen benötigen noch UPnP, um richtig zu funktionieren.,
Schutz Ihres Netzwerks
Obwohl Minim generell davon abhält, UPnP-Funktionen auf unseren Routern zu aktivieren, liegt es letztendlich am Hersteller, ISP und dann am Endbenutzer.
„Letztendlich würde ich sagen, dass die Risiken für diese besondere Sicherheitsanfälligkeit darin bestehen, dass ISP—Netzwerke—die übermäßige Bandbreite verbrauchen—und Internetdienste—den gesamten Junk-Verkehr gesendet werden, um sie herunterzufahren-nicht an normale Endbenutzer“, sagt Stelfox.
Çadırcı stimmt zu und schreibt: „Es wird nicht erwartet, dass Heimanwender direkt angesprochen werden., Wenn ihre Internet-gerichteten Geräte UPnP-Endpunkte haben, können ihre Geräte als DDoS-Quellen verwendet werden. Fragen Sie Ihren ISP, ob Ihr Router Internet-Facing UPnP mit der CallStranger-Schwachstelle hat – es gibt Millionen von Consumer-Geräten mit dem Internet verbunden sind.“
Obwohl dies erleichtert zu sein scheint, ist es immer noch wichtig, Ihr Heimnetzwerk vor dem UPnP-Fehler zu schützen. Dazu gibt es zwei Möglichkeiten: Die erste besteht darin, UPnP einfach vollständig zu deaktivieren. Die meisten Router können durch Zugriff auf das Einstellungsmenü geändert werden. Diese Option ist jedoch für einige Benutzer möglicherweise nicht sinnvoll, wie bereits erläutert.,
Die zweite Option ist UPnP-UP oder Universal Plug and Play – Benutzerprofil zu aktivieren. Dies erfordert, dass Ihr UPnP-fähiger Router Autorisierungs-und Authentifizierungsmechanismen für alle Geräte im Netzwerk benötigt. Der Nachteil dieser Option ist, dass noch nicht alle Router oder Geräte diese Methode unterstützen.
Wenn keine dieser Lösungen Ihren Anforderungen entspricht, ist es möglicherweise unvermeidlich, das UPnP-Protokoll auf Ihrem Router aktiv zu lassen. Wenn sich die Verkehrsnutzung Ihres Netzwerks drastisch ändert (was in der mobilen Minim-App zu sehen ist), haben Sie möglicherweise ein Problem., Wenn Sie kein Minim-Benutzer sind, können Sie die Protokolle Ihres Routers überprüfen und eine Site wie den Router Checker von F-Secure verwenden, um herauszufinden, ob Ihr Router entführt wurde.