Vous avez peut-être déjà entendu le terme « plug and play”. En général, le terme englobe un appareil qui peut être utilisé sans configuration utilisateur, permettant une configuration fluide et facile et une utilisation continue tout au long de la durée de vie de l’appareil. Bien que cela puisse sembler agréable au premier abord, le protocole Universal Plug And Play ou UPnP a connu suffisamment de controverses tout au long de sa durée de vie et a été affecté par des logiciels malveillants qui peuvent affecter tout un réseau domestique.
Qu’est-ce que L’UPnP exactement?,
UPnP signifie Universal Plug And Play et a été créé à l’origine pour les réseaux domestiques et les petites entreprises afin de faciliter la configuration de nouveaux appareils sur le réseau. Pratiquement tous les appareils des téléviseurs intelligents comme Roku et Apple TV, la surveillance à distance de la maison, les assistants à domicile comme Google Home et Amazon Alexa, les appareils IoT tels que les thermostats et les serrures, les consoles de jeux, les imprimantes, les haut-parleurs et bien d’autres utilisent UPnP.
UPnP permet aux périphériques du réseau de détecter la présence d’autres périphériques. Sans cela, il est toujours possible de partager les appareils entre les choses sur le réseau., Ce protocole facilite principalement la découverte de périphériques sur le réseau et n’est plus requis pour cette découverte locale.
des protocoles plus modernes sont généralement pris en charge pour effectuer cette découverte automatique sur des réseaux tels que mDNS, Avahi et Bonjour. Le but principal du protocole UPnP est de percer des trous dans le pare-feu d’un routeur pour permettre à d’autres machines de parler au système derrière un routeur NAT-configuré.,
UPnP est facilement exploitable
UPnP permet également le trafic non sollicité entre les périphériques sans aucune forme d’authentification ou de vérification, et c’est ce qui les laisse ouverts à l’exploitation. Quand il a été créé à l’origine, UPnP a été fait pour fonctionner au niveau du réseau local. Cela signifiait que chaque périphérique sur le réseau domestique serait en mesure de se connecter les uns aux autres, pas seulement le routeur.,
la plupart des routeurs sont livrés avec UPnP activé par défaut avec de bonnes intentions de le rendre plus facile pour l’utilisateur; UPnP est sur le routeur pour faciliter l’ouverture automatique des ports vers le monde extérieur pour permettre des connexions directes entre les choses, telles que deux Xbox afin qu’ils puissent jouer à des jeux ensemble Mais activer UPnP pour cette fonctionnalité peut également entraîner de gros problèmes de sécurité.
puisque L’UPnP n’a pas besoin d’autorisation ou d’authentification dans la plupart des cas, un routeur activé supposera automatiquement que tous les périphériques tentant d’établir une connexion sont sûrs., Ce n’est pas toujours le cas. Cette fonctionnalité pourrait théoriquement permettre à un pirate informatique d’accéder facilement à votre réseau et de lui permettre d’accéder à distance à d’autres appareils du réseau, de transférer son trafic par proxy avec votre routeur, d’utiliser votre réseau lors d’attaques DDoS, et bien plus encore.
Une fonctionnalité UPnP appelée SUBSCRIBE permet de traiter des quantités substantielles de données par ces appareils, conduisant à une attaque par déni de service distribué (DDoS). La vulnérabilité à grande échelle a reçu le numéro D’entrée de CVE-2020-12695, maintenant nommé CallStranger.,
L’attaque DDoS que CallStranger provoque est effectuée en convainquant les périphériques d’envoyer des mises à jour d’état et des annonces de capacités périodiques à des tiers. Cela s’ajoute rapidement avec le nombre de périphériques provoquant un DDoS d’un service ciblé à distance, mais les périphériques eux-mêmes seront largement inchangés.
détecter L’exploit CallStranger est difficile à cause de cela, donc Minim capte l’activité excessive qu’il provoque, plutôt que le malware lui-même., Selon Sam Stelfox, Ingénieur Logiciel chez Minim, les utilisateurs seraient en mesure de dire s’ils sont affectés par CallStranger par un ralentissement du réseau: « il pourrait également être enchaîné avec d’autres vulnérabilités sur un appareil pour faire encore plus de dégâts. »
CallStranger: un exploit UPnP
CallStranger exploite une faille de sécurité dans le protocole réseau universel Plug And Play et a été signalé pour la première fois par Yunus Çadırcı, le responsable de la cybersécurité chez EY Turquie., La vulnérabilité peut être utilisée pour:
- contourner les dispositifs de sécurité DLP et réseau pour voler des données
- utiliser des millions de périphériques compatibles UPnP connectés à Internet comme source de DDoS TCP réfléchis amplifiés
- analyser les ports internes des périphériques UPnP connectés à Internet
Çadırcı suppose que les fournisseurs peuvent mettre beaucoup de temps à fournir les correctifs nécessaires un problème spécifique à une plate-forme ou à un logiciel., Cependant, la bonne nouvelle pour le techniquement avancé est qu’il a développé un script pour vérifier le malware.
si UPnP est si facilement exploité, pourquoi l’utilisons-nous encore?
certains clients de Minim utilisent toujours le protocole UPnP simplement parce qu’il est inévitable, selon Stelfox.
« de nombreux jeux multijoueurs et systèmes de jeu nécessitent UPnP pour leur permettre de se connecter directement les uns aux autres”, dit-il., « Les titres de jeux Triple A et les jeux qui ont des serveurs dédiés ne le font généralement pas, mais même ceux-ci ont des exceptions car les interactions directes peer-to-peer comme celle-ci sont beaucoup plus faciles à gérer et à maintenir que les services centraux. »
Stelfox dit que les utilisateurs qui désactivent les services UPnP ne remarqueront pas de différence de performance, mais qu’ils remarqueront plus que probablement s’ils jouent à une grande variété de jeux multijoueurs. Certaines plates-formes de jeu nécessitent encore UPnP pour fonctionner correctement.,
protéger votre réseau
bien que Minim décourage généralement d’activer la fonctionnalité UPnP sur nos routeurs, c’est finalement au fabricant, au FAI, puis à l’utilisateur final de décider.
« en fin de compte, je dirais que les risques de cette vulnérabilité particulière sont les réseaux FAI—consommant une bande passante excessive—et les services internet—étant envoyés tout le trafic indésirable pour essayer de les supprimer—pas aux utilisateurs finaux normaux”, explique Stelfox.
Çadırcı est d’accord, écrivant: « on ne s’attend pas à ce que les utilisateurs à domicile soient ciblés directement., Si leurs appareils connectés à internet ont des points de terminaison UPnP, ils peuvent être utilisés comme sources DDoS. Demandez à votre FAI si votre routeur a Internet-face UPnP avec la vulnérabilité CallStranger—il y a des millions d’appareils grand public exposés à Internet. »
bien que cela semble soulager, il est toujours important de sécuriser votre réseau domestique de la faille UPnP. Il existe deux options pour ce faire: la première consiste simplement à désactiver complètement UPnP. La plupart des routeurs peuvent être modifiés en accédant au menu Paramètres. Cette option pourrait ne pas être raisonnable pour certains utilisateurs cependant, comme expliqué précédemment.,
la deuxième option consiste à activer UPnP-up ou Universal Plug And Play – profil utilisateur. Cela nécessite que votre routeur compatible UPnP nécessite des mécanismes d’autorisation et d’authentification pour tous les périphériques du réseau. L’inconvénient de cette option est que tous les routeurs ou périphériques ne prennent pas encore en charge cette méthode.
si aucune de ces solutions ne correspond à vos besoins, il peut être inévitable de laisser le protocole UPnP actif sur votre routeur. Si vous voyez un changement radical dans l’utilisation du trafic de votre réseau (qui peut être vu dans le Minim application mobile), vous pouvez avoir un problème., Si vous n’êtes pas un utilisateur Minim, vous pouvez vérifier les journaux de votre routeur et utiliser un site tel que le router checker de F-Secure pour savoir si votre routeur a été détourné.