you might have heard the term” plug and play ” before. Em geral, o termo abrange um dispositivo que pode ser usado sem configuração do usuário, permitindo uma configuração suave e fácil e uso contínuo durante toda a vida útil do dispositivo. Embora isso possa soar bem no início, o Plug and Play Universal ou protocolo UPnP já viu bastante controvérsia ao longo de sua vida útil e foi afetado por malware que pode afetar uma rede doméstica inteira.
o que é o UPnP?,
UPnP significa Plug and Play Universal e foi originalmente criado para redes domésticas e pequenas empresas para facilitar a configuração de novos dispositivos para a rede. Virtualmente todos os dispositivos de TVs inteligentes como Roku e Apple TV, vigilância doméstica remota, assistentes domésticos como Google Home e Amazon Alexa, dispositivos IoT como termóstatos e fechaduras, consoles de jogos, impressoras, alto-falantes, e muitos mais utilizar UPnP.
UPnP permite que dispositivos na rede para detectar a presença de outros dispositivos. Sem ele, ainda é possível compartilhar os dispositivos entre as coisas na rede., Este protocolo facilita principalmente a descoberta de dispositivos na rede e não é mais necessário para essa descoberta local.protocolos mais modernos são geralmente suportados para fazer esta auto-descoberta em redes como mDNS, Avahi e Bonjour. O principal objetivo do protocolo UPnP é fazer buracos na firewall de um roteador para permitir que outras máquinas conversem com o sistema por trás de um roteador configurado NAT.,
UPnP é facilmente explorável
UPnP também permite o tráfego não solicitado entre dispositivos sem qualquer forma de autenticação ou verificação, e é isso que os deixa abertos para exploração. Quando foi originalmente criado, UPnP foi feito para trabalhar no nível LAN. Isso significava que cada dispositivo na rede doméstica seria capaz de se conectar um ao outro, não apenas o roteador.,
a Maioria dos roteadores são enviados com UPnP ativado por padrão, com boas intenções, de torná-lo mais fácil para o usuário; UPnP no router para facilitar automaticamente a abertura de portas para o mundo externo, para permitir conexões diretas entre as coisas, como dois Xboxes, assim eles podem jogar juntos sem um servidor de terceiros. Mas permitir o UPnP para esta funcionalidade também pode levar a grandes problemas de segurança.
porque o UPnP não precisa de autorização ou autenticação na maioria dos casos, um router habilitado irá assumir automaticamente que todos os dispositivos que tentam fazer uma conexão são seguros., Nem sempre é assim. Esta funcionalidade pode, teoricamente, permitir que um hacker entre na sua rede com facilidade e permitir-lhes o acesso remoto a outros dispositivos na rede, proxy o seu tráfego com o seu router, utilizar a sua rede em ataques DDoS, e muito mais.
uma capacidade UPnP chamada SUBSCRIBE permite que quantidades substanciais de dados a serem processados por esses dispositivos, levando a um ataque de negação de serviço distribuído (DDoS). A vulnerabilidade em larga escala recebeu o número de entrada de CVE-2020-12695, agora chamado CallStranger.,
O ataque DDoS que CallStranger causa é realizado convencendo os dispositivos a enviar atualizações de estado e anúncios periódicos de capacidade para terceiros. Isso rapidamente se soma com o número de dispositivos que causam um DDoS de um serviço remoto direcionado, mas os próprios dispositivos em grande parte não serão afetados.
detectar a façanha de CallStranger é complicado por causa disso, então Minim pega na atividade excessiva que causa, ao invés do próprio malware., De acordo com Sam Stelfox, um engenheiro de Software da Minim, os usuários seriam capazes de dizer se eles são afetados pelo CallStranger por uma desaceleração da rede: “ele também pode potencialmente ser acorrentado com outras vulnerabilidades em um dispositivo para fazer ainda mais danos.”
CallStranger: a UPnP exploit
CallStranger explora uma falha de segurança no Universal Plug and Play network protocol e foi relatado pela primeira vez por Yunus Çadırcı, o Gerente Sênior de segurança cibernética em EY Turkey., A vulnerabilidade pode ser usado para:
- Ignorar DLP de rede e de dispositivos de segurança para roubar dados
- Utilizar milhões de Internet habilitado para UPnP devices como uma fonte de amplificado refletida DDoS TCP
- Varredura de portas internas de Internet voltado para dispositivos UPnP
Çadırcı especula que ele pode levar um longo tempo para fornecedores para fornecer os patches necessários para evitar que o malware explore o protocolo porque é um problema com o protocolo em si, em vez de uma plataforma de software ou problema específico., No entanto, a boa notícia para o tecnicamente avançado é que ele desenvolveu um script para verificar o malware.se a UPnP é tão facilmente explorada, porque é que ainda a usamos?alguns clientes da Minim ainda usam o protocolo UPnP simplesmente porque é inevitável, de acordo com o Stelfox.
“muitos jogos multiplayer e sistemas de jogos requerem UPnP para permitir que eles se conectem um ao outro diretamente”, diz ele., “Títulos de jogos Triple-A e jogos que têm servidores dedicados geralmente não, mas mesmo aqueles têm exceções como interações diretas peer-to-peer como este são significativamente mais fáceis de gerenciar e manter do que os Serviços Centrais.”
Stelfox diz que os usuários que desligam os Serviços UPnP não vão notar uma diferença no desempenho, mas que eles provavelmente vão notar se eles jogam uma grande variedade de jogos multiplayer. Algumas plataformas de jogos ainda exigem UPnP, a fim de funcionar corretamente.,
proteger a sua rede
embora o Minim geralmente desencoraja a activação da funcionalidade UPnP nos nossos routers, cabe, em última análise, ao fabricante, ISP e, em seguida, ao Utilizador Final.
“em última análise, eu diria que os riscos para esta vulnerabilidade particular são para as redes ISP—consumindo banda excessiva—e serviços de internet—sendo enviado todo o tráfego de lixo para tentar derrubá—los-não para usuários finais normais”, diz Stelfox.
Çadırcı concorda, escrevendo: “não se espera que os usuários domésticos sejam diretamente visados., Se seus dispositivos voltados para a internet tiverem pontos finais UPnP, seus dispositivos podem ser usados como fontes DDoS. Pergunte ao seu ISP se o seu router tem internet-virado para cima com a vulnerabilidade CallStranger—existem milhões de dispositivos de consumo expostos à Internet.”
embora isto pareça ser um alívio, ainda é importante proteger a sua rede doméstica da falha UPnP. Existem duas opções para fazer isso: a primeira é simplesmente desativar UPnP completamente. A maioria dos roteadores são capazes de ser alterados acessando o menu Configuração. No entanto, esta opção pode não ser razoável para alguns utilizadores, tal como explicado anteriormente.,
a segunda opção é activar o UPnP-UP ou Universal Plug and Play – User Profile. Isto requer que o seu router ligado ao UPnP requeira mecanismos de autorização e autenticação para todos os dispositivos da rede. A desvantagem desta opção é que nem todos os roteadores ou dispositivos suportam este método ainda.se nenhuma destas soluções se adequar às suas necessidades, poderá ser inevitável deixar o protocolo UPnP activo no seu router. Se você ver uma mudança drástica no uso de tráfego de sua rede (que pode ser visto no aplicativo móvel Minim), você pode ter um problema., Se você não é um usuário Minim, você pode verificar os registros do seu router e usar um site como o verificador de router do F-Secure para descobrir se o seu router foi sequestrado.