Du kanske har hört termen ”plug and play” tidigare. I allmänhet omfattar termen en enhet som kan användas utan Användarkonfiguration, vilket möjliggör en smidig och enkel installation och kontinuerlig användning under hela enhetens livstid. Även om detta kanske låter trevligt i början, Universal Plug and Play eller UPnP protokollet har sett tillräckligt kontrovers under hela sin livslängd och har påverkats av skadlig kod som kan påverka ett helt hemnätverk.
Vad exakt är UPnP?,
UPnP står för Universal Plug and Play och skapades ursprungligen för hem-och småföretagsnätverk för att underlätta konfigurationen av nya enheter till nätverket. Nästan varje enhet från smarta TV-apparater som Roku och Apple TV, fjärrövervakning, hemassistenter som Google Home och Amazon Alexa, IoT-enheter som termostater och lås, spelkonsoler, skrivare, högtalare och många fler använder UPnP.
UPnP tillåter enheter i nätverket att upptäcka närvaron av andra enheter. Utan det är det fortfarande möjligt att dela enheterna mellan saker på nätverket., Detta protokoll underlättar i första hand upptäckten av enheter i nätverket och krävs inte längre för den lokala upptäckten.
mer moderna protokoll stöds vanligtvis för att göra denna Automatisk upptäckt på nätverk som mDNS, Avahi och Bonjour. Det primära syftet med UPnP-protokollet är att peta hål i en routers brandvägg så att andra maskiner kan prata med systemet bakom en NAT-konfigurerad router.,
UPnP är lätt att utnyttja
UPnP möjliggör också oönskad trafik mellan enheter utan någon form av autentisering eller verifiering, och det är det som lämnar dem öppna för exploatering. När det ursprungligen skapades, UPnP gjordes för att arbeta på LAN-nivå. Det innebar att varje enhet på hemmanätverket skulle kunna ansluta till varandra, inte bara routern.,
de flesta routrar levereras med UPnP aktiverat som standard med goda avsikter att göra det lättare för användaren; UPnP är på routern för att underlätta automatiskt öppna portar till omvärlden för att tillåta direkta anslutningar mellan saker, såsom två Xboxes så att de kan spela spel tillsammans utan en tredje part server. Men att aktivera UPnP för denna funktionalitet kan också leda till stora säkerhetsproblem.
eftersom UPnP inte behöver auktorisering eller autentisering i de flesta fall antar en aktiverad router automatiskt att alla enheter som försöker göra en anslutning är säkra., Så är inte alltid fallet. Denna funktion kan teoretiskt tillåta en hacker i ditt nätverk med lätthet och låta dem fjärråtkomst till andra enheter i nätverket, proxy sin trafik med din router, utnyttja ditt nätverk i DDoS-attacker, och mycket mer.
En UPnP-förmåga kallas PRENUMERERA möjliggör att stora mängder data som ska bearbetas av dessa enheter, vilket leder till en Distribuerad Denial of Service (DDoS) attacker. Den storskaliga sårbarheten har fått inmatningsnumret för CVE-2020-12695, som nu heter CallStranger.,
DDoS-attacken som CallStranger orsakar utförs av övertygande enheter för att skicka statusuppdateringar och periodiska kapacitetsmeddelanden till tredje part. Detta lägger snabbt till det stora antalet enheter som orsakar en DDoS av en fjärrstyrd tjänst, men enheterna själva kommer i stor utsträckning att vara opåverkade.
detektering av callstranger-exploateringen är knepig på grund av detta, så Minim tar upp den överdrivna aktiviteten som det orsakar, snarare än själva malware., Enligt Sam Stelfox, en mjukvaruingenjör på Minim, skulle användarna kunna berätta om de påverkas av CallStranger av en nätverksavmattning: ”det kan också potentiellt vara kedjat med andra sårbarheter på en enhet för att göra ännu mer skada.”
CallStranger: en UPnP utnyttja
CallStranger utnyttjar en säkerhetsbrist i den Universella Plug and Play-nätverk protokoll och rapporterades först av Yunus Çadırcı, Cyber Security Senior Manager på EY Turkiet., Sårbarheten kan användas för att:
- kringgå DLP-och nätverkssäkerhetsenheter för att stjäla data
- använda miljontals Internet-vända UPnP-aktiverade enheter som en källa till förstärkta reflekterade TCP DDoS
- skanna interna portar från Internet-vända UPnP-enheter
Çadırcı spekulerar att det kan ta lång tid för leverantörer att tillhandahålla de nödvändiga patchar för att förhindra skadlig kod från att utnyttja protokollet eftersom det är ett problem med själva protokollet, snarare än en plattform eller programvara-specifik fråga., Den goda nyheten för den tekniskt avancerade är dock att han har utvecklat ett skript för att kontrollera skadlig kod.
om UPnP är så lätt att utnyttja, varför använder vi det fortfarande?
några av Minims kunder använder fortfarande UPnP-protokollet helt enkelt för att det är oundvikligt, enligt Stelfox.
”många multiplayerspel och spelsystem kräver UPnP för att de ska kunna ansluta till varandra direkt”, säger han., ”Triple-A speltitlar och spel som har dedikerade servrar i allmänhet inte, men även de har undantag som direkta peer-to-peer interaktioner som detta är betydligt lättare att hantera och underhålla än centrala tjänster.”
Stelfox säger att användare som stänger av UPnP-tjänster inte kommer att märka någon skillnad i prestanda, men att de mer än sannolikt kommer att märka om de spelar en mängd olika multiplayerspel. Vissa spelplattformar kräver fortfarande UPnP för att fungera korrekt.,
skydda ditt nätverk
Även om Minim i allmänhet avskräcker från att aktivera UPnP-funktionalitet på våra routrar, är det i slutändan upp till tillverkaren, ISP och sedan slutanvändaren.
”i slutändan skulle jag säga att riskerna för denna speciella sårbarhet är att ISP-nätverk-konsumerar överdriven bandbredd—och internettjänster—skickas all skräptrafik för att försöka ta ner dem-inte till vanliga slutanvändare”, säger Stelfox.
Çadırcı instämmer, skriver: ”hemanvändare förväntas inte vara riktade direkt., Om deras internetanslutna enheter har UPnP-slutpunkter kan deras enheter användas som DDoS-källor. Fråga din Internetleverantör om din router har Internet-vänd UPnP med callstranger sårbarhet – det finns miljontals konsumentenheter utsatta för Internet.”
Även om detta verkar lindra, är det fortfarande viktigt att säkra ditt hemnätverk från UPnP-felet. Det finns två alternativ för att göra detta: den första är att helt enkelt inaktivera UPnP helt och hållet. De flesta routrar kan ändras genom att gå till inställningsmenyn. Det här alternativet kanske inte är rimligt för vissa användare, men som förklarats tidigare.,
Det andra alternativet är att aktivera UPnP-UP eller Universal Plug and Play – användarprofil. Detta kräver att din UPnP-aktiverade router kräver auktoriserings-och autentiseringsmekanismer för alla enheter i nätverket. Nackdelen med det här alternativet är att inte alla routrar eller enheter stöder den här metoden ännu.
om ingen av dessa lösningar passar dina behov kan det vara oundvikligt att lämna UPnP-protokollet aktivt på routern. Om du ser en drastisk förändring av trafikanvändningen i ditt nätverk (som kan ses i Minim mobile app), kan du ha ett problem., Om du inte är en Minim-användare kan du kontrollera routerns loggar och använda en webbplats som F-Secures router checker för att ta reda på om routern har kapats.