es posible que haya escuchado el término» plug and play » antes. En general, el término abarca un dispositivo que se puede usar sin configuración de usuario, lo que permite una configuración suave y fácil y un uso continuo durante toda la vida útil del dispositivo. Aunque esto puede sonar bien al principio, el protocolo Universal Plug and Play o UPnP ha visto suficiente controversia a lo largo de su vida útil y se ha visto afectado por malware que puede afectar a toda una red doméstica.
¿qué es exactamente UPnP?,
UPnP significa Universal Plug and Play y fue creado originalmente para redes domésticas y de pequeñas empresas para facilitar la configuración de nuevos dispositivos a la red. Prácticamente todos los dispositivos, desde televisores inteligentes como Roku y Apple TV, vigilancia remota en el hogar, asistentes domésticos como Google Home y Amazon Alexa, dispositivos IoT como termostatos y cerraduras, consolas de juegos, impresoras, altavoces y muchos más, utilizan UPnP.
UPnP permite a los dispositivos de la red Detectar la presencia de otros dispositivos. Sin él, todavía es posible compartir los dispositivos entre cosas en la red., Este protocolo facilita principalmente la detección de dispositivos en la red y ya no es necesario para esa detección local.
generalmente se admiten protocolos más modernos para hacer este descubrimiento automático en redes como mDNS, Avahi y Bonjour. El propósito principal del protocolo UPnP es hacer agujeros en el firewall de un enrutador para permitir que otras máquinas hablen con el sistema detrás de un enrutador configurado por NAT.,
UPnP es fácilmente explotable
UPnP también permite el tráfico no solicitado entre dispositivos sin ninguna forma de autenticación o verificación, y eso es lo que los deja abiertos para su explotación. Cuando se creó originalmente, UPnP se hizo para trabajar a nivel LAN. Eso significaba que cada dispositivo en la red doméstica podría conectarse entre sí, no solo el enrutador.,
La mayoría de los enrutadores se envían con UPnP habilitado por defecto con buenas intenciones de hacerlo más fácil para el usuario; UPnP está en el enrutador para facilitar la apertura automática de puertos al mundo exterior para permitir conexiones directas entre cosas, como dos Xboxes para que puedan jugar juntos sin un servidor de terceros. Pero habilitar UPnP para esta funcionalidad también puede conducir a grandes problemas de seguridad.
debido a que UPnP no necesita autorización o autenticación en la mayoría de los casos, un enrutador habilitado asumirá automáticamente que todos los dispositivos que intentan hacer una conexión son seguros., No siempre es así. Esta funcionalidad teóricamente podría permitir que un hacker ingrese a su red con facilidad y permitirles acceso remoto a otros dispositivos en la red, proxy de su tráfico con su enrutador, utilizar su red en ataques DDoS y mucho más.
una capacidad UPnP llamada SUBSCRIBE permite que estos dispositivos procesen cantidades sustanciales de datos, lo que conduce a un ataque de denegación de servicio distribuido (DDoS). La vulnerabilidad a gran escala se ha dado el número de entrada de CVE-2020-12695, ahora llamado CallStranger.,
El ataque DDoS que causa CallStranger se realiza convenciendo a los dispositivos para que envíen actualizaciones de estado y anuncios periódicos de capacidad a terceros. Esto se suma rápidamente con la gran cantidad de dispositivos que causan un DDoS de un servicio dirigido remoto, pero los dispositivos en sí no se verán afectados en gran medida.
detectar el exploit de CallStranger es complicado debido a esto, por lo que Minim recoge la actividad excesiva que causa, en lugar del malware en sí., Según Sam Stelfox, un ingeniero de Software en Minim, los usuarios podrían saber si están afectados por CallStranger por una desaceleración de la red: «también podría ser potencialmente encadenado con otras vulnerabilidades en un dispositivo para hacer aún más daño.»
CallStranger: un exploit UPnP
CallStranger explota un defecto de seguridad en el Protocolo de red Universal Plug and Play y fue reportado por primera vez por Yunus Çadırcı, el gerente sénior de Seguridad Cibernética en EY Turquía., La vulnerabilidad se puede usar para:
- omitir DLP y dispositivos de seguridad de red para robar datos
- Utilizar millones de dispositivos habilitados para UPnP orientados a Internet como fuente de DDoS TCP reflejados amplificados
- escanear puertos internos de dispositivos UPnP orientados a Internet
Çadırcı especula que puede tomar mucho tiempo para que los proveedores proporcionen los parches necesarios para evitar que el malware explote el protocolo porque es un problema que un problema específico de plataforma o software., Sin embargo, la buena noticia para los técnicamente avanzados es que ha desarrollado un script para comprobar el malware.
si la UPnP se explota tan fácilmente, ¿por qué seguimos usándola?
algunos de los clientes de Minim todavía utilizan el protocolo UPnP simplemente porque es inevitable, según Stelfox.
«muchos juegos multijugador y sistemas de juego requieren UPnP para permitirles conectarse entre sí directamente», dice., «Los títulos de juegos Triple A y los juegos que tienen servidores dedicados generalmente no lo hacen, pero incluso aquellos tienen excepciones, ya que las interacciones directas entre pares como esta son significativamente más fáciles de administrar y mantener que los servicios centrales.»
Stelfox dice que los usuarios que desactivan los servicios UPnP no notarán una diferencia en el rendimiento, pero que es más que probable que se den cuenta si juegan una amplia variedad de juegos multijugador. Algunas plataformas de juego todavía requieren UPnP para funcionar correctamente.,
proteger su red
aunque Minim generalmente desaconseja habilitar la funcionalidad UPnP en nuestros enrutadores, en última instancia depende del fabricante, el ISP y luego el usuario final.
«en última instancia, diría que los riesgos de esta vulnerabilidad particular son para las redes ISP, que consumen un ancho de banda excesivo, y los servicios de internet, que reciben todo el tráfico basura para intentar eliminarlos, no para los usuarios finales normales», dice Stelfox.
Çadırcı está de acuerdo, escribiendo: «no se espera que los usuarios domésticos sean dirigidos directamente., Si sus dispositivos orientados a internet tienen endpoints UPnP, sus dispositivos pueden usarse como fuentes DDoS. Pregunte a su ISP si su enrutador tiene acceso a Internet, frente a UPnP con la vulnerabilidad CallStranger, hay millones de dispositivos de consumo expuestos a Internet.»
aunque esto parece aliviador, sigue siendo importante proteger su red doméstica de la falla UPnP. Hay dos opciones para hacer esto: la primera es simplemente deshabilitar UPnP por completo. La mayoría de los routers se pueden cambiar accediendo al menú de configuración. Sin embargo, esta opción podría no ser razonable para algunos usuarios, como se explicó anteriormente.,
la segunda opción es habilitar UPnP-UP O Universal Plug and Play-perfil de usuario. Esto requiere que su enrutador habilitado para UPnP requiera mecanismos de autorización y autenticación para todos los dispositivos de la red. La desventaja de esta opción es que no todos los enrutadores o dispositivos admiten este método todavía.
si ninguna de estas soluciones se ajusta a sus necesidades, podría ser inevitable dejar el protocolo UPnP activo en su enrutador. Si ve un cambio drástico en el uso del tráfico de su red (que se puede ver en la aplicación móvil Minim), puede tener un problema., Si no eres un usuario de Minim, puedes revisar los registros de tu router y usar un sitio como el router checker de F-Secure para averiguar si tu router ha sido secuestrado.