image

Aanvallers openen via UPnP-lek SMB-poorten op 45.000 routers

donderdag 29 november 2018, 11:50 door Redactie, 19 reacties

Aanvallers gebruiken een UPnP-lek in allerlei populaire thuisrouters om de SMB-poorten voor het internet te openen, zodat de achtergelegen machines in het netwerk kunnen worden aangevallen. Hierdoor zouden naar schatting 1,7 miljoen machines mogelijk risico lopen, zo laat internetgigant Akamai weten.

Universal Plug and Play (UPnP) is een veelgebruikt protocol dat het eenvoudiger voor apparaten in een netwerk moet maken om met het internet of andere apparaten op het netwerk te communiceren. De kwetsbaarheid wordt veroorzaakt doordat de routers bepaalde diensten via hun WAN-interface voor het internet beschikbaar stellen, terwijl deze diensten eigenlijk alleen voor de apparaten op het LAN toegankelijk zouden moeten zijn.

Via deze blootgestelde diensten kan een aanvaller NAT-vermeldingen aan de router toevoegen en in sommige gevallen machines achter de router benaderen. In andere gevallen kan een aanvaller "Internet-routable hosts" aan de NAT-tabel toevoegen, waardoor de router als een proxy-server fungeert. In april waarschuwde Akamai al voor aanvallen waarbij kwetsbare routers als proxy werden gebruikt.

Nu meldt de internetgigant dat aanvallers poort 139 en 445 op de router openzetten. Dit zijn de poorten die door Microsoft SMB worden gebruikt. De WannaCry-ransomware verspreidde zich bijvoorbeeld via een kwetsbaarheid in Microsofts SMB-service. Akamai speculeert dat de aanvallers de SMB-poorten openzetten om machines via hetzelfde beveiligingslek aan te vallen.

Volgens Akamai zijn er 277.000 routers met een kwetsbare UPnP-implementatie en zijn bij 45.000 routers daarvan de SMB-poorten opengezet. Op basis van het aantal unieke ip-adressen dat per router werd waargenomen schat Akamai dat 1,7 miljoen achterliggende machines mogelijk risico lopen. Eigenaren van een kwetsbare router krijgen het advies om UPnP uit te schakelen of een nieuwe router te kopen. In deze pdf staat een overzicht van kwetsbare modellen.

Reacties (19)
29-11-2018, 12:06 door Anoniem
Al jaren staat bij mij UPnP uitgeschakeld, en al jaren wordt in de ICT-wereld voor UPnP gewaarschuwd.
Soms vraag je af of mensen geen router kopen, aansluiten, en alles laten zoals het is.
29-11-2018, 12:28 door Anoniem
Je kunt testen of de router dit toestaatbvia GRC.com en zie onderstaande link naar de forum posting:

https://www.snbforums.com/threads/new-upnp-exploit-affecting-most-asus-routers-upnproxy-blackhat-proxies-via-nat-injections.46011/page-2#post-400981

Proceed klikken en dsn krijg je de melding of jouw router kwetsbaar is of niet.
29-11-2018, 12:28 door Anoniem
UPNP blijft een kut protocol dat alleen voor de gemakzucht erop wordt gegooit. Ookal heb je het uitstaan kan er nogsteeds misbruik van gemaakt worden.
29-11-2018, 12:30 door MathFox
Door Anoniem: Al jaren staat bij mij UPnP uitgeschakeld, en al jaren wordt in de ICT-wereld voor UPnP gewaarschuwd.
Soms vraag je af of mensen geen router kopen, aansluiten, en alles laten zoals het is.
Mijn vader is al blij dat internetbankieren lukt. Als er een nieuw modem binnenkomt is dat omdat zijn ISP vindt dat er een upgrade nodig is en wordt het door een monteur van/namens de ISP geïnstalleerd.

Hij weet niet hoe hij bij de instellingen van zijn router moet komen en zal zeker niet iets aanpassen wat hij niet begrijpt. Net als 90% van de bevolking. Daarom moeten de ISP's ook een veilig modem leveren met een veilige standaardconfiguratie. Niet voor jou en mij, maar voor de 90% die genoeg weten om blij te zijn met een werkende internetverbinding.
29-11-2018, 12:31 door [Account Verwijderd]
Door Anoniem: Al jaren staat bij mij UPnP uitgeschakeld, en al jaren wordt in de ICT-wereld voor UPnP gewaarschuwd.
Soms vraag je af of mensen geen router kopen, aansluiten, en alles laten zoals het is.

Dat laatste gebeurt maar al te vaak. Dat is een algemeen probleem met thuis ICT, er is geen kundige beheerder aanwezig.
29-11-2018, 12:32 door [Account Verwijderd]
Door MathFox:
Door Anoniem: Al jaren staat bij mij UPnP uitgeschakeld, en al jaren wordt in de ICT-wereld voor UPnP gewaarschuwd.
Soms vraag je af of mensen geen router kopen, aansluiten, en alles laten zoals het is.
Mijn vader is al blij dat internetbankieren lukt. Als er een nieuw modem binnenkomt is dat omdat zijn ISP vindt dat er een upgrade nodig is en wordt het door een monteur van/namens de ISP geïnstalleerd.

Hij weet niet hoe hij bij de instellingen van zijn router moet komen en zal zeker niet iets aanpassen wat hij niet begrijpt. Net als 90% van de bevolking. Daarom moeten de ISP's ook een veilig modem leveren met een veilige standaardconfiguratie. Niet voor jou en mij, maar voor de 90% die genoeg weten om blij te zijn met een werkende internetverbinding.

Je hebt helemaal gelijk maar dan krijgen ze weer gezeur dat game consoles niet werken omdat de juiste poorten niet open staan.
29-11-2018, 13:32 door Anoniem
Door Anoniem: Al jaren staat bij mij UPnP uitgeschakeld, en al jaren wordt in de ICT-wereld voor UPnP gewaarschuwd.
Soms vraag je af of mensen geen router kopen, aansluiten, en alles laten zoals het is.

Veel ISP's (zoals Telenet bij mij) denken dat consumenten niet in hun router hoeven te zijn. En daarom maken ze het heel moeilijk om de instellingen aan te passen.
29-11-2018, 14:30 door Anoniem
De standaard modem die je van KPN geleverd krijgt is kwetsbaar voor deze lek. Kijken hoe snel KPN zal reageren op deze lek.
29-11-2018, 16:05 door MathFox
Door Anoniem: De standaard modem die je van KPN geleverd krijgt is kwetsbaar voor deze lek. Kijken hoe snel KPN zal reageren op deze lek.
Dank. Ik zal de volgende keer als ik bij mijn vader ben eens wat modem (en laptop) instellingen nalopen.
29-11-2018, 18:03 door Anoniem
Nou hopelijk komt er snel firmware waar dit lek is gedicht.
29-11-2018, 20:47 door Briolet
Door Anoniem: Al jaren staat bij mij UPnP uitgeschakeld, en al jaren wordt in de ICT-wereld voor UPnP gewaarschuwd.

Hoe heb je gecontroleerd dat het uit staan? Alleen naar de checkbox gekeken? Niet slim.

Ziggo heeft ooit routers geleverd waar je UPnP kon uitschakelen, maar na een herstart stond UPnP weer aan zonder dat de checkbox dit aangaf. Je moest het dan eerste weer 'aan' zetten en vervolgens weer 'uit' zetten om het echt uit te zetten. En dan maar hopen dat je er aan denkt dit te herhalen nadat de router even geen stroom gehad heeft.

Gelukkig is dit met een firmware update opgelost. In elk geval geeft dit aan dat je niet naar een checkbox moet kijken, maar moet kijken of de functionaliteit ook echt niet meer reageert.
30-11-2018, 00:32 door Anoniem
De server header bij een normale response is "Microsoft-IIS/8.5",
terwijl de header voor een response bij een aanval "Microsoft-HTTPAPI/2.0." is,
waarbij te letten valt op bijvoorbeeld (SSDP/UPnP),

Het ironische hierbij is nu juist, dat alle nieuwere versies van UPnP een zeer minimale core beveiliging bezitten.
UPnP-aanvallen kunnen gebruikt worden om chaos te scheppen, om gaten in firewall te schieten e.d.

UPnP doodsimpel of simpel te dodelijk gevaarlijk om open te laten staan?
30-11-2018, 08:08 door spatieman
ik snap niet dat upnp nog steeds gebruikt word en standaard altijd actief is.
het is jaren bekend dat dit vragen is voor rottigheid
30-11-2018, 15:32 door ChrisL
Met alle IOT devices in huis welke ook verbindingen maken met leveranciers is een enkele firewall niet langer houdbaar... Elke Device moet voorzien worden van een firewall en local filesharing moet gemanaged worden per device en niet langer het hele subnet.
30-11-2018, 18:24 door Anoniem
Boete voor 45.000 mensen voor het niet naar behoren instellen van hun apparatuur. Je mag ook niet de weg op met een auto die te veel vervuilt. Waarom zou je wel het internet mogen vervuilen, ik zie het verschil niet.
01-12-2018, 00:04 door Anoniem
Door spatieman: ik snap niet dat upnp nog steeds gebruikt word en standaard altijd actief is.
het is jaren bekend dat dit vragen is voor rottigheid
Misschien omdat veel gameboxen dit nodig hebben? Of in ieder geval vroeger...... En de meeste gebruikers snappen echt helemaal niets van NAT regels..... Dus voor die gebruikers in upnp noodzakelijk.
01-12-2018, 11:02 door Anoniem
Is de Connectbox modem/ router van Ziggo ook gettoffen door dit lek?
01-12-2018, 11:17 door Anoniem
Door Anoniem:
Misschien omdat veel gameboxen dit nodig hebben? Of in ieder geval vroeger...... En de meeste gebruikers snappen echt helemaal niets van NAT regels..... Dus voor die gebruikers in upnp noodzakelijk.
De meeste moderne toepassingen gebruiken juist "cloud servers" om het probleem wat UPnP probeert op te lossen
te omzeilen. Misschien moeten de gameboxen dat ook maar eens gaan doen? Je wilt toch niet verantwoordelijk zijn
voor veiligheidsproblemen op internet lijkt me.
02-12-2018, 23:02 door Anoniem
Door Anoniem:
Door Anoniem:
Misschien omdat veel gameboxen dit nodig hebben? Of in ieder geval vroeger...... En de meeste gebruikers snappen echt helemaal niets van NAT regels..... Dus voor die gebruikers in upnp noodzakelijk.
De meeste moderne toepassingen gebruiken juist "cloud servers" om het probleem wat UPnP probeert op te lossen
te omzeilen. Misschien moeten de gameboxen dat ook maar eens gaan doen? Je wilt toch niet verantwoordelijk zijn
voor veiligheidsproblemen op internet lijkt me.
Performance misschien?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.