być może słyszałeś wcześniej termin „plug and play”. Ogólnie rzecz biorąc, termin ten obejmuje urządzenie, które może być używane bez konfiguracji użytkownika, co pozwala na płynną i łatwą konfigurację oraz ciągłe użytkowanie przez cały okres użytkowania urządzenia. Chociaż na początku może to brzmieć miło, uniwersalny protokół Plug and Play lub UPnP spotkał się z wystarczającymi kontrowersjami przez cały okres użytkowania i został dotknięty złośliwym oprogramowaniem, które może mieć wpływ na całą sieć domową.
czym dokładnie jest UPnP?,
UPnP oznacza Universal Plug and Play i został pierwotnie stworzony dla sieci domowych i małych firm, aby ułatwić konfigurację nowych urządzeń do sieci. Praktycznie każde urządzenie, od inteligentnych telewizorów, takich jak Roku i Apple TV, zdalnego nadzoru domowego, asystentów domowych, takich jak Google Home i Amazon Alexa, urządzeń IoT, takich jak termostaty i zamki, konsole do gier, drukarki, głośniki i wiele innych, wykorzystuje UPnP.
UPnP umożliwia urządzeniom w sieci wykrywanie obecności innych urządzeń. Bez niego nadal można udostępniać urządzenia między rzeczami w sieci., Protokół ten ułatwia przede wszystkim wykrywanie urządzeń w sieci i nie jest już wymagany do tego lokalnego wykrywania.
bardziej nowoczesne protokoły są zwykle obsługiwane do automatycznego wykrywania w sieciach takich jak mDNS, Avahi i Bonjour. Głównym celem protokołu UPnP jest wbijanie dziur w zaporę routera, aby umożliwić innym maszynom komunikację z systemem za routerem skonfigurowanym przez NAT.,
UPnP jest łatwy do wykorzystania
UPnP pozwala również na niechciany ruch między urządzeniami bez żadnej formy uwierzytelniania lub weryfikacji, i to pozostawia je otwarte do wykorzystania. Kiedy został pierwotnie stworzony, UPnP został stworzony do pracy na poziomie sieci LAN. Oznacza to, że każde urządzenie w sieci domowej będzie w stanie połączyć się ze sobą, a nie tylko z routerem.,
większość routerów jest dostarczana z domyślnie włączonym UPnP z dobrymi intencjami ułatwiającymi użytkownikowi; UPnP jest na routerze, aby ułatwić automatyczne otwieranie portów na świat zewnętrzny, aby umożliwić bezpośrednie połączenia między rzeczami, takie jak dwa Xboxy, dzięki czemu mogą grać razem w gry bez zewnętrznego serwera. Ale włączenie UPnP dla tej funkcji może również prowadzić do dużych problemów z bezpieczeństwem.
ponieważ UPnP w większości przypadków nie wymaga autoryzacji ani uwierzytelniania, włączony router automatycznie zakłada, że wszystkie urządzenia próbujące nawiązać połączenie są bezpieczne., Nie zawsze tak jest. Ta funkcjonalność może teoretycznie umożliwić hakerowi dostęp do sieci z łatwością i umożliwić mu zdalny dostęp do innych urządzeń w sieci, proxy ich ruchu z routerem, wykorzystanie sieci w atakach DDoS i wiele więcej.
funkcja UPNP o nazwie SUBSCRIBE pozwala na przetwarzanie znacznych ilości danych przez te urządzenia, co prowadzi do ataku DDoS (Distributed Denial of Service). Luka na dużą skalę otrzymała numer wpisu CVE-2020-12695, obecnie nazwany CallStranger.,
atak DDoS, który wywołuje CallStranger, jest wykonywany przez przekonywanie urządzeń do wysyłania aktualizacji statusu i okresowych ogłoszeń o możliwościach do osób trzecich. To szybko sumuje się z samą liczbą urządzeń powodujących DDoS zdalnej usługi ukierunkowanej, ale same urządzenia będą w dużej mierze nienaruszone.
wykrywanie exploita CallStranger jest z tego powodu trudne, więc Minim wykrywa nadmierną aktywność, którą powoduje, a nie samo złośliwe oprogramowanie., Według Sam Stelfox, Inżynier Oprogramowania w Minim, użytkownicy będą w stanie stwierdzić, czy są dotknięci przez CallStranger spowolnieniem sieci: „może to być również potencjalnie połączone z innymi lukami w zabezpieczeniach urządzenia, aby wyrządzić jeszcze więcej szkód.”
CallStranger: exploit UPnP
CallStranger wykorzystuje lukę bezpieczeństwa w uniwersalnym protokole sieciowym Plug and Play i został po raz pierwszy zgłoszony przez Yunusa Çadırcı, starszego menedżera ds. cyberbezpieczeństwa w EY Turcja., Luka może być użyta do:
- ominięcie urządzeń DLP i zabezpieczeń sieciowych w celu kradzieży danych
- wykorzystanie milionów urządzeń obsługujących UPnP w Internecie jako źródła wzmocnionych odbitych DDoS TCP
- skanowanie portów wewnętrznych z urządzeń UPnP w Internecie
Çadırcı spekuluje, że dostarczenie przez dostawców niezbędnych łatek, aby zapobiec wykorzystaniu protokołu złośliwego oprogramowania, ponieważ jest to problem z sam protokół, a nie problem związany z platformą lub oprogramowaniem., Jednak dobrą wiadomością dla zaawansowanych technicznie jest to, że opracował skrypt do sprawdzania złośliwego oprogramowania.
skoro UPnP jest tak łatwo wykorzystywany, to dlaczego nadal go używamy?
Niektórzy klienci Minim nadal używają protokołu UPnP tylko dlatego, że jest to nieuniknione, według Stelfox.
„wiele gier wieloosobowych i systemów do gier wymaga UPnP, aby umożliwić im bezpośrednie połączenie ze sobą”, mówi., „Tytuły gier Triple-A i gry, które mają serwery dedykowane na ogół nie, ale nawet te mają wyjątki, ponieważ bezpośrednie interakcje typu peer-to-peer są znacznie łatwiejsze w zarządzaniu i utrzymaniu niż usługi Centralne.”
Stelfox twierdzi, że użytkownicy, którzy wyłączą usługi UPnP, nie zauważą różnicy w wydajności, ale najprawdopodobniej zauważą, jeśli będą grać w wiele różnych gier wieloosobowych. Niektóre platformy do gier nadal wymagają UPnP, aby działać poprawnie.,
Ochrona sieci
chociaż Minim generalnie zniechęca do włączania funkcji UPnP na naszych routerach, ostatecznie zależy to od producenta, ISP, a następnie użytkownika końcowego.
„ostatecznie powiedziałbym, że ryzyko związane z tą szczególną luką jest związane z sieciami ISP—zużywającymi nadmierną przepustowość—i usługami internetowymi—wysyłającymi cały ruch śmieci, aby spróbować je usunąć—a nie z normalnymi użytkownikami końcowymi”, mówi Stelfox.
Çadırcı zgadza się, pisząc: „użytkownicy domowi nie powinni być kierowani bezpośrednio., Jeśli ich urządzenia internetowe mają punkty końcowe UPnP, ich urządzenia mogą być używane jako źródła DDoS. Zapytaj swojego dostawcę usług internetowych, czy twój router ma internet-narażony na działanie UPnP z luką CallStranger—miliony urządzeń konsumenckich są narażone na działanie Internetu.”
chociaż wydaje się to ulgowe, nadal ważne jest, aby zabezpieczyć swoją sieć domową przed wadą UPnP. Istnieją dwie opcje, aby to zrobić: pierwsza polega na całkowitym wyłączeniu UPnP. Większość routerów można zmienić, uzyskując dostęp do menu Ustawienia. Opcja ta może jednak nie być rozsądna dla niektórych użytkowników, jak wyjaśniono wcześniej.,
drugą opcją jest włączenie profilu użytkownika UPnP-UP lub uniwersalnego Plug and Play. Wymaga to, aby router z obsługą UPnP wymagał mechanizmów autoryzacji i uwierzytelniania dla wszystkich urządzeń w sieci. Minusem tej opcji jest to, że nie wszystkie routery lub urządzenia obsługują jeszcze tę metodę.
Jeśli żadne z tych rozwiązań nie pasuje do Twoich potrzeb, może być nieuniknione pozostawienie aktywnego protokołu UPnP na routerze. Jeśli zauważysz drastyczną zmianę w korzystaniu z ruchu sieciowego (co można zobaczyć w aplikacji mobilnej Minim), możesz mieć problem., Jeśli nie jesteś użytkownikiem Minim, możesz sprawdzić dzienniki routera i skorzystać z witryny, takiej jak funkcja sprawdzania routera firmy F-Secure, aby dowiedzieć się, czy router został porwany.