Onderzoekers hebben beveiligingslekken in het Universal Plug and Play (UPnP) protocol ontdekt waardoor miljoenen computers en apparaten kwetsbaar zijn. Het onderzoek werd door het Amerikaanse beveiligingsbedrijf Rapid7 uitgevoerd. "De resultaten waren op z'n minst schokkend te noemen", zegt onderzoeker H.D. Moore, tevens de bedenker van hackertool Metasploit.

UPnP maakt het mogelijk voor apparaten om eenvoudig met elkaar te communiceren en verbinding te maken. Dit gebruiksgemak heeft ook een keerzijde. Er werden meer dan 80 miljoen unieke IP-adressen ontdekt die op vanaf het internet verstuurde UPnP-requests reageerden.

Tussen de 40 en 50 miljoen IP-adressen zijn tenminste voor één van de drie aanvallen die de onderzoekers toepasten kwetsbaar.

De twee meest gebruikte UPnP software libraries bevatten meerdere kwetsbaarheden die op afstand zijn te misbruiken. In het geval van de Portable UPnP SDK bleken meer dan 23 miljoen unieke IP-adressen kwetsbaar te zijn. Door het versturen van één enkel UDP-pakket is het mogelijk om willekeurige code uit te voeren. In de praktijk betekent dat aanvallers het apparaat in kwestie kunnen overnemen.

In totaal werden meer dan 6900 productversies ontdekt die door het gebruik van UPnP kwetsbaar waren. Het gaat om de apparatuur van meer dan 1500 leveranciers en fabrikanten.

Kwetsbaar
Vandaag is er een nieuwe versie van de Portable UPnP SDK verschenen waarin de beveiligingslekken zijn opgelost. Volgens Moore zal het nog zeer lang duren voordat de problemen in alle kwetsbare applicaties en apparaten zijn gepatcht. In veel gevallen gaat het om netwerkapparatuur die niet meer wordt ondersteund en daardoor ook geen patches of beveiligingsupdates meer krijgt.

Deze gebruikers moeten de UPnP-functie dan ook uitschakelen of een nieuw product aanschaffen. De lekken die de onderzoekers in de MiniUPnP-software ontdekten waren al twee jaar geleden verholpen. Toch werden nog meer dan 330 producten aangetroffen die oudere versies gebruiken.

Scantool
Moore roept eindgebruikers, bedrijven en internetproviders op om direct actie te ondernemen en alle kwetsbare UPnP endpoints in hun omgeving uit te schakelen. UPnP is op veel apparaten aanwezig en staat in veel gevallen standaard ingeschakeld. Bijna alle netwerkprinters, IP-camera's en netwerkopslagservers ondersteunen de technologie, merkt de onderzoeker op.

Om gebruikers en bedrijven te helpen is er nu een gratis tool genaamd ScanNow UPnP gelanceerd, die kwetsbare UPnP endpoints kan detecteren. Ook laat de tool zien welke apparaten via de nu ontdekte beveiligingslekken kwetsbaar zijn.

Op dit moment ondersteunt de scantool alleen Windows. Gebruikers van Mac OS X en Linux krijgen het advies om Metasploit te gebruiken en daarmee kwetsbare apparaten op te sporen.

Update 17:05
Het Computer Emergency Readiness Team van de Amerikaanse overheid adviseert gebruikers en beheerders om UPnP uit te schakelen (indien mogelijk) en toegang tot SSDP (1900/UDP) en Simple Object Accces Protocol (SOAP) diensten van onbetrouwbare netwerken zoals het internet te beperken.

De pagina waar de ScanNow UPnP tool is te downloaden is nu ook weer online.