Si potrebbe avere sentito il termine “plug and play” prima. In generale, il termine comprende un dispositivo che può essere utilizzato senza configurazione dell’utente, consentendo una configurazione agevole e facile e l’utilizzo continuo per tutta la vita del dispositivo. Anche se questo potrebbe sembrare bello in un primo momento, il Plug and Play universale o il protocollo UPnP ha visto abbastanza polemiche per tutta la sua durata ed è stato influenzato da malware che può interessare un’intera rete domestica.
Che cosa è esattamente UPnP?,
UPnP sta per Universal Plug and Play ed è stato originariamente creato per le reti domestiche e di piccole imprese per facilitare la configurazione di nuovi dispositivi alla rete. Praticamente ogni dispositivo da smart TV come Roku e Apple TV, sorveglianza domestica remota, assistenti domestici come Google Home e Amazon Alexa, dispositivi IoT come termostati e serrature, console di gioco, stampanti, altoparlanti e molti altri utilizzano UPnP.
UPnP consente ai dispositivi in rete di rilevare la presenza di altri dispositivi. Senza di esso, è ancora possibile condividere i dispositivi tra le cose sulla rete., Questo protocollo facilita principalmente la scoperta di dispositivi sulla rete e non è più necessario per tale scoperta locale.
Protocolli più moderni sono solitamente supportati per fare questo rilevamento automatico su reti come mDNS, Avahi e Bonjour. Lo scopo principale del protocollo UPnP è quello di colpire buchi nel firewall di un router per consentire ad altre macchine di parlare con il sistema dietro un router configurato NAT.,
UPnP è facilmente sfruttabile
UPnP consente anche il traffico non richiesto tra dispositivi senza alcuna forma di autenticazione o verifica, e questo è ciò che li lascia aperti allo sfruttamento. Quando è stato originariamente creato, UPnP è stato fatto per funzionare a livello LAN. Ciò significava che ogni dispositivo sulla rete domestica sarebbe in grado di connettersi tra loro, non solo il router.,
La maggior parte dei router vengono forniti con UPnP abilitato di default con buone intenzioni di rendere più facile per l’utente; UPnP è sul router per facilitare automaticamente l’apertura delle porte al mondo esterno per consentire connessioni dirette tra le cose, come ad esempio due Xbox in modo che possano giocare insieme senza un server di terze parti. Ma abilitare UPnP per questa funzionalità può anche portare a grossi problemi di sicurezza.
Poiché UPnP non ha bisogno di autorizzazione o autenticazione nella maggior parte dei casi, un router abilitato assumerà automaticamente che tutti i dispositivi che tentano di effettuare una connessione siano sicuri., Questo non è sempre il caso. Questa funzionalità potrebbe teoricamente consentire un hacker nella rete con facilità e consentire loro l’accesso remoto ad altri dispositivi sulla rete, proxy loro traffico con il router, utilizzare la rete in attacchi DDoS, e molto altro ancora.
Una funzionalità UPnP chiamata SUBSCRIBE consente di elaborare notevoli quantità di dati da questi dispositivi, portando ad un attacco DDoS (Distributed Denial of Service). La vulnerabilità su larga scala è stato dato il numero di ingresso di CVE-2020-12695, ora chiamato CallStranger.,
L’attacco DDoS causato da CallStranger viene eseguito convincendo i dispositivi a inviare aggiornamenti di stato e annunci periodici di funzionalità a terze parti. Questo si somma rapidamente con l’enorme numero di dispositivi che causano un DDoS di un servizio mirato remoto, ma i dispositivi stessi saranno in gran parte inalterati.
Rilevare l’exploit di CallStranger è complicato a causa di ciò, quindi Minim rileva l’attività eccessiva che causa, piuttosto che il malware stesso., Secondo Sam Stelfox, un ingegnere del software presso Minim, gli utenti sarebbero in grado di dire se sono colpiti da CallStranger da un rallentamento della rete: “Potrebbe anche essere potenzialmente incatenato con altre vulnerabilità su un dispositivo per fare ancora più danni.”
CallStranger: un exploit UPnP
CallStranger sfrutta una falla di sicurezza nel protocollo di rete Plug and Play universale ed è stato segnalato per la prima volta da Yunus Çadırcı, il Senior Manager della sicurezza informatica di EY Turkey., La vulnerabilità può essere utilizzato per:
- Bypass DLP e dispositivi di sicurezza della rete per rubare dati
- Utilizzare milioni di connessione a Internet UPnP abilitato dispositivi come fonte di riflesso amplificato TCP DDoS
- la Scansione di porte interne da Internet dispositivi UPnP
Çadırcı ipotizza che potrebbe richiedere molto tempo per i fornitori di fornire le patch necessarie per evitare che il malware di sfruttare il protocollo, perché è un problema con il protocollo stesso, piuttosto che di una piattaforma o di un software specifico problema., Tuttavia, la buona notizia per il tecnicamente avanzato è che ha sviluppato uno script per verificare la presenza di malware.
Se UPnP è così facilmente sfruttabile, perché lo stiamo ancora usando?
Alcuni dei clienti di Minim usano ancora il protocollo UPnP semplicemente perché è inevitabile, secondo Stelfox.
” Molti giochi multiplayer e sistemi di gioco richiedono UPnP per consentire loro di connettersi tra loro direttamente, ” dice., “Titoli di gioco Triple-A e giochi che hanno server dedicati in genere non lo fanno, ma anche quelli hanno eccezioni come interazioni dirette peer-to-peer come questo sono significativamente più facili da gestire e mantenere rispetto ai servizi centrali.”
Stelfox dice che gli utenti che spengono i servizi UPnP non noteranno una differenza di prestazioni, ma che probabilmente noteranno se giocano un’ampia varietà di giochi multiplayer. Alcune piattaforme di gioco richiedono ancora UPnP per funzionare correttamente.,
Protezione della rete
Sebbene Minim scoraggi generalmente l’attivazione della funzionalità UPnP sui nostri router, spetta in ultima analisi al produttore, all’ISP e quindi all’utente finale.
“In definitiva, direi che i rischi per questa particolare vulnerabilità sono per le reti ISP—consumando larghezza di banda eccessiva—e servizi internet—essere inviato tutto il traffico spazzatura per cercare di portarli giù—non ai normali utenti finali,” dice Stelfox.
Çadırcı è d’accordo, scrivendo: “Gli utenti domestici non dovrebbero essere presi di mira direttamente., Se i loro dispositivi rivolti a Internet hanno endpoint UPnP, i loro dispositivi possono essere utilizzati come sorgenti DDoS. Chiedete al vostro ISP se il router ha internet-rivolto UPnP con la vulnerabilità CallStranger – ci sono milioni di dispositivi consumer esposti a Internet.”
Anche se questo sembra alleviare, è ancora importante proteggere la rete domestica dal difetto UPnP. Ci sono due opzioni per farlo: la prima è semplicemente disabilitare del tutto UPnP. La maggior parte dei router può essere modificata accedendo al menu delle impostazioni. Questa opzione potrebbe non essere ragionevole per alcuni utenti, tuttavia, come spiegato in precedenza.,
La seconda opzione è quella di abilitare UPnP-UP o Universal Plug and Play – Profilo utente. Ciò richiede che il router abilitato per UPnP richieda meccanismi di autorizzazione e autenticazione per tutti i dispositivi della rete. Lo svantaggio di questa opzione è che non tutti i router o dispositivi supportano ancora questo metodo.
Se nessuna di queste soluzioni si adatta alle tue esigenze, potrebbe essere inevitabile lasciare attivo il protocollo UPnP sul tuo router. Se vedi un drastico cambiamento nell’utilizzo del traffico della tua rete (che può essere visto nell’app mobile Minim), potresti avere un problema., Se non sei un utente Minim, è possibile controllare i log del router e utilizzare un sito come F-Secure router checker per scoprire se il router è stato dirottato.