u zou de term” plug and play ” eerder hebben gehoord. In het algemeen omvat de term een apparaat dat kan worden gebruikt zonder Gebruikersconfiguratie, waardoor een soepele en eenvoudige installatie en continu gebruik gedurende de levensduur van het apparaat mogelijk is. Hoewel dit klinkt misschien leuk op het eerste, de Universele Plug and Play of UPnP-protocol heeft genoeg controverse gezien gedurende zijn levensduur en is beà nvloed door malware die een hele thuisnetwerk kan beïnvloeden.
Wat is UPnP precies?,
UPnP staat voor Universal Plug and Play en is oorspronkelijk gemaakt voor thuisnetwerken en kleine zakelijke netwerken om de configuratie van nieuwe apparaten op het netwerk te vergemakkelijken. Vrijwel elk apparaat van smart Tv ‘ s zoals Roku en Apple TV, externe huisbewaking, thuisassistenten zoals Google Home en Amazon Alexa, IoT-apparaten zoals thermostaten en sloten, spelconsoles, printers, Luidsprekers en nog veel meer maken gebruik van UPnP.
met UPnP kunnen apparaten op het netwerk de aanwezigheid van andere apparaten detecteren. Zonder dit, het is nog steeds mogelijk om de apparaten te delen tussen dingen op het netwerk., Dit protocol vergemakkelijkt in de eerste plaats de ontdekking van apparaten op het netwerk en is niet langer nodig voor die lokale ontdekking.
modernere protocollen worden meestal ondersteund voor het doen van deze automatische ontdekking op netwerken zoals mDNS, Avahi en Bonjour. Het primaire doel van het UPnP-protocol is om gaten in de firewall van een router te prikken zodat andere machines met het systeem achter een nat-geconfigureerde router kunnen praten.,
UPnP is gemakkelijk te exploiteren
UPnP maakt ook ongevraagd verkeer tussen apparaten mogelijk zonder enige vorm van authenticatie of verificatie, en dat is wat hen open laat voor exploitatie. Toen het oorspronkelijk werd gemaakt, UPnP werd gemaakt om te werken op het LAN-niveau. Dat betekende dat elk apparaat op het thuisnetwerk in staat zou zijn om verbinding te maken met elkaar, niet alleen de router.,
De meeste routers worden geleverd met UPnP standaard ingeschakeld met goede bedoelingen om het gemakkelijker te maken voor de gebruiker; UPnP is op de router om het automatisch openen van poorten naar de buitenwereld te vergemakkelijken om directe verbindingen tussen dingen mogelijk te maken, zoals twee Xboxen zodat ze samen games kunnen spelen zonder een server van derden. Maar het inschakelen van UPnP voor deze functionaliteit kan ook leiden tot grote beveiligingsproblemen.
omdat UPnP in de meeste gevallen geen autorisatie of authenticatie nodig heeft, zal een ingeschakelde router automatisch aannemen dat alle apparaten die proberen een verbinding te maken veilig zijn., Dit is niet altijd het geval. Deze functionaliteit kan theoretisch mogelijk een hacker in uw netwerk met gemak en hen toegang op afstand tot andere apparaten op het netwerk, proxy hun verkeer met uw router, gebruik maken van uw netwerk in DDoS-aanvallen, en nog veel meer.
een UPnP-mogelijkheid genaamd SUBSCRIBE maakt het mogelijk om aanzienlijke hoeveelheden gegevens te verwerken door deze apparaten, wat leidt tot een DDOS-aanval (Distributed Denial of Service). De grootschalige kwetsbaarheid is gegeven het entry nummer van CVE-2020-12695, nu genoemd CallStranger.,
De DDOS-aanval die CallStranger veroorzaakt wordt uitgevoerd door apparaten te overtuigen om statusupdates en periodieke capability aankondigingen naar derden te sturen. Dit voegt snel bij het enorme aantal apparaten die een DDoS van een remote gerichte service veroorzaken, maar de apparaten zelf zullen grotendeels onaangetast zijn.
het detecteren van de callstranger exploit is hierdoor lastig, dus Minim pikt de overmatige activiteit op die het veroorzaakt, in plaats van de malware zelf., Volgens Sam Stelfox, een Software Engineer bij Minim, gebruikers in staat zou zijn om te vertellen als ze worden getroffen door CallStranger door een netwerk vertraging: “het kan ook mogelijk worden geketend met andere kwetsbaarheden op een apparaat om nog meer schade te doen.”
CallStranger: een UPnP exploit
CallStranger maakt gebruik van een beveiligingslek in het Universele Plug and Play netwerk protocol en werd voor het eerst gemeld door Yunus Çadırcı, de Cyber Security Senior Manager bij EY Turkije., De kwetsbaarheid kan worden gebruikt om:
- DLP-en netwerkbeveiligingsapparaten te omzeilen om gegevens te stelen
- gebruik miljoenen op het internet gerichte UPnP-apparaten als bron van versterkte gereflecteerde TCP-DDoS
- het scannen van interne poorten van op het internet gerichte UPnP-apparaten
Çadırcı speculeert dat het lang kan duren voordat leveranciers de nodige patches leveren om te voorkomen dat de malware het protocol exploiteert omdat het een probleem is met het protocol zelf, in plaats van een platform of software-specifieke kwestie., Echter, het goede nieuws voor de technisch geavanceerde is dat hij een script heeft ontwikkeld om te controleren op de malware.
als UPnP zo gemakkelijk wordt benut, waarom gebruiken we het dan nog?
sommige klanten van Minim gebruiken het UPnP-protocol nog steeds omdat het onvermijdelijk is, volgens Stelfox.
” veel multiplayer games en gaming systemen hebben UPnP nodig om ze in staat te stellen direct met elkaar te verbinden,” zegt hij., “Triple-A game titels en games die dedicated servers hebben over het algemeen niet, maar zelfs die hebben uitzonderingen als directe peer-to-peer interacties zoals deze zijn aanzienlijk gemakkelijker te beheren en te onderhouden dan centrale diensten.”
Stelfox zegt dat gebruikers die UPnP-diensten uitschakelen geen verschil in prestaties zullen merken, maar dat ze meer dan waarschijnlijk zullen merken als ze een grote verscheidenheid aan multiplayer-spellen spelen. Sommige gaming platforms nog steeds UPnP nodig om goed te functioneren.,
uw netwerk beschermen
hoewel Minim over het algemeen het inschakelen van UPnP-functionaliteit op onze routers ontmoedigt, is het uiteindelijk aan de fabrikant, ISP en vervolgens de eindgebruiker.
“uiteindelijk, zou ik zeggen dat de risico’ s voor deze specifieke kwetsbaarheid zijn om ISP—netwerken—verbruiken overmatige bandbreedte—en internetdiensten—worden verzonden Al het junk verkeer om te proberen en ze neer te halen-niet aan normale eindgebruikers,” zegt Stelfox.
Çadırcı gaat akkoord, schrijven: “thuisgebruikers worden niet verwacht direct gericht te zijn., Als hun internet-gerichte apparaten UPnP-eindpunten hebben, kunnen hun apparaten worden gebruikt als DDoS-bronnen. Vraag uw ISP als uw router heeft internet-geconfronteerd UPnP met de CallStranger kwetsbaarheid – er zijn miljoenen consumenten apparaten blootgesteld aan het Internet.”
hoewel dit lijkt te verlichten, is het nog steeds belangrijk om je thuisnetwerk te beveiligen tegen de UPnP fout. Er zijn twee opties om dit te doen: de eerste is om gewoon UPnP helemaal uit te schakelen. De meeste routers kunnen worden gewijzigd door het menu instellingen te openen. Deze optie is misschien niet redelijk voor sommige gebruikers echter, zoals eerder uitgelegd.,
de tweede optie is om UPnP-UP of Universal Plug and Play – User Profile in te schakelen. Dit vereist dat uw UPnP-router autorisatie-en verificatiemechanismen vereist voor alle apparaten in het netwerk. Het nadeel van deze optie is dat nog niet alle routers of apparaten deze methode ondersteunen.
als geen van deze oplossingen aan uw behoeften voldoet, kan het onvermijdelijk zijn om het UPnP-protocol actief te laten op uw router. Als u een drastische verandering in het verkeer gebruik van uw netwerk (die kan worden gezien in de minim mobiele app), kunt u een probleem., Als u geen Minim-gebruiker bent, kunt u de logs van uw router controleren en een site gebruiken zoals F-Secure ‘ s router checker om erachter te komen of uw router is gekaapt.