image

Miljoenen apparaten kwetsbaar door UPnP-lek

dinsdag 29 januari 2013, 13:37 door Redactie, 12 reacties

Onderzoekers hebben beveiligingslekken in het Universal Plug and Play (UPnP) protocol ontdekt waardoor miljoenen computers en apparaten kwetsbaar zijn. Het onderzoek werd door het Amerikaanse beveiligingsbedrijf Rapid7 uitgevoerd. "De resultaten waren op z'n minst schokkend te noemen", zegt onderzoeker H.D. Moore, tevens de bedenker van hackertool Metasploit.

UPnP maakt het mogelijk voor apparaten om eenvoudig met elkaar te communiceren en verbinding te maken. Dit gebruiksgemak heeft ook een keerzijde. Er werden meer dan 80 miljoen unieke IP-adressen ontdekt die op vanaf het internet verstuurde UPnP-requests reageerden.

Tussen de 40 en 50 miljoen IP-adressen zijn tenminste voor één van de drie aanvallen die de onderzoekers toepasten kwetsbaar.

De twee meest gebruikte UPnP software libraries bevatten meerdere kwetsbaarheden die op afstand zijn te misbruiken. In het geval van de Portable UPnP SDK bleken meer dan 23 miljoen unieke IP-adressen kwetsbaar te zijn. Door het versturen van één enkel UDP-pakket is het mogelijk om willekeurige code uit te voeren. In de praktijk betekent dat aanvallers het apparaat in kwestie kunnen overnemen.

In totaal werden meer dan 6900 productversies ontdekt die door het gebruik van UPnP kwetsbaar waren. Het gaat om de apparatuur van meer dan 1500 leveranciers en fabrikanten.


Kwetsbaar
Vandaag is er een nieuwe versie van de Portable UPnP SDK verschenen waarin de beveiligingslekken zijn opgelost. Volgens Moore zal het nog zeer lang duren voordat de problemen in alle kwetsbare applicaties en apparaten zijn gepatcht. In veel gevallen gaat het om netwerkapparatuur die niet meer wordt ondersteund en daardoor ook geen patches of beveiligingsupdates meer krijgt.

Deze gebruikers moeten de UPnP-functie dan ook uitschakelen of een nieuw product aanschaffen. De lekken die de onderzoekers in de MiniUPnP-software ontdekten waren al twee jaar geleden verholpen. Toch werden nog meer dan 330 producten aangetroffen die oudere versies gebruiken.

Scantool
Moore roept eindgebruikers, bedrijven en internetproviders op om direct actie te ondernemen en alle kwetsbare UPnP endpoints in hun omgeving uit te schakelen. UPnP is op veel apparaten aanwezig en staat in veel gevallen standaard ingeschakeld. Bijna alle netwerkprinters, IP-camera's en netwerkopslagservers ondersteunen de technologie, merkt de onderzoeker op.

Om gebruikers en bedrijven te helpen is er nu een gratis tool genaamd ScanNow UPnP gelanceerd, die kwetsbare UPnP endpoints kan detecteren. Ook laat de tool zien welke apparaten via de nu ontdekte beveiligingslekken kwetsbaar zijn.

Op dit moment ondersteunt de scantool alleen Windows. Gebruikers van Mac OS X en Linux krijgen het advies om Metasploit te gebruiken en daarmee kwetsbare apparaten op te sporen.

Update 17:05
Het Computer Emergency Readiness Team van de Amerikaanse overheid adviseert gebruikers en beheerders om UPnP uit te schakelen (indien mogelijk) en toegang tot SSDP (1900/UDP) en Simple Object Accces Protocol (SOAP) diensten van onbetrouwbare netwerken zoals het internet te beperken.

De pagina waar de ScanNow UPnP tool is te downloaden is nu ook weer online.

Reacties (12)
29-01-2013, 14:22 door Anoniem
De link naar het "scannow upnp" tooltje werkt niet. Dat is ook al genoemd in het commentaar onderin het bericht waar de link "onderzoek" naar verwijst. Mogelijk dat dit later nog beschikbaar komt?
29-01-2013, 15:43 door [Account Verwijderd]
[Verwijderd]
29-01-2013, 16:59 door Anoniem
sja @Solaris. Dat is wat mensen willen. En daarna huilen dat hun bankrekening leeeg is.
29-01-2013, 17:18 door Anoniem
"This application requires a Java Runtime Environment 1.6.0"... lekker is dat.
29-01-2013, 18:18 door Anoniem
Chrome meldt: ScanNow UPnP.exe appears to be malicious. Iemand ervaring met de tool?
29-01-2013, 19:12 door hx0r3z
Door Anoniem: Chrome meldt: ScanNow UPnP.exe appears to be malicious. Iemand ervaring met de tool?

Afkomstig van waar? En Sja pentesting tools zijn meestal detected als virus. Logisch ook eigenlijk..
29-01-2013, 21:25 door Anoniem
"This tool requires Java Runtime Environment 1.6.0" :')
29-01-2013, 22:58 door [Account Verwijderd]
[Verwijderd]
30-01-2013, 17:28 door Anoniem
Door Anoniem: "This application requires a Java Runtime Environment 1.6.0"... lekker is dat.
Door Anoniem: "This tool requires Java Runtime Environment 1.6.0" :')

Alleen de browser plugin was lek ...
30-01-2013, 22:06 door Anoniem
De metasploit scan module werkt overigens ook goed hoor...
Geen Java nodig ;)
02-02-2013, 10:32 door Anoniem
Ik heb een ubee router van ziggo en upnp lijkt aan te staan (UPnP Enable)
Heb al geprobeerd om het uit te vinken ,maar nadat ik apply druk komt het vinkje gelijk weer terug

Hier even wat nmap logs

tarting Nmap 6.01 ( http://nmap.org ) at 2013-02-02 04:20 EST
Nmap scan report for 192.168.178.1
Host is up (0.0059s latency).
Not shown: 996 filtered ports
PORT STATE SERVICE
23/tcp closed telnet
80/tcp open http
1900/tcp closed upnp
8080/tcp closed http-proxy
MAC Address: XX:XX:XX:XX:XX:1XX (Hon Hai Precision Ind. Co.)

Nmap done: 1 IP address (1 host up) scanned in 4.15 seconds

tcp zit dus dicht, maar hoe zit het met de 1900 udp ?
Werkt nmap eigelijk wel of moet een scan met metasploit worden gedaan ?
03-02-2013, 01:21 door Anoniem
Beter dan die Java meuk is GRC's instant UPnP exposure test

https://www.grc.com/x/ne.dll?bh0bkyd2

Maar dat wisten jullie vast al...

Mars
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.