CallStranger: vulnerabilità universale Plug and Play in miliardi di dispositivi

La vulnerabilità di CallStranger potrebbe essere utilizzata da un aggressore per lanciare attacchi DDoS arbitrari contro apparecchi stranieri accessibili da Internet tramite UPnP.

Un ricercatore in materia di sicurezza ha scoperto una vulnerabilità che potrebbe essere utilizzata dagli aggressori per ottenere l’accesso remoto ai dispositivi UPnP (Universal Plug and Play) senza autenticazione. La vulnerabilità, chiamata CallStranger (CVE-2020-12695), è direttamente nel protocollo UPnP e, secondo il suo scopritore Yunus Çadırcırcı, colpisce miliardi di dispositivi di rete che rispondono alle richieste UPnP. Diversi milioni di questi dispositivi sono accessibili via Internet.

Secondo le informazioni contenute nel sito web di CallStranger, il ricercatore ha informato la Open Connectivity Foundation (OCF), responsabile del protocollo, sulla vulnerabilità alla fine di dicembre. Il 17 aprile l’OCF ha pubblicato una versione aggiornata e sicura del protocollo. Tuttavia, secondo Çadırcıs, ci vorrà probabilmente un bel po‘ di tempo prima che la maggior parte dei produttori abbia sviluppato e fornito aggiornamenti (firmware) basati sulle specifiche UPnP aggiornate. Inoltre, ci sono quei dispositivi (IoT) a basso costo che generalmente non ricevono aggiornamenti di sicurezza.

Çadırcı ha pubblicato un elenco iniziale di dispositivi (o firmware interessati) e sistemi operativi i cui fornitori hanno già confermato la loro vulnerabilità e/o che ha attaccato con successo con il proprio codice di proof of concept. L’elenco comprende vari router, nonché stampanti compatibili con la rete, telecamere IP, campanelli intelligenti e televisori. Sono rappresentati anche Windows 10 (probabilmente tutte le versioni, incluso il server) e il sistema operativo di Xbox One.

Attacchi DDoS e furto di informazioni

CallStranger / CVE-2020-12695 è integrato nella funzione di sottoscrizione dello standard UPnP, che viene utilizzata essenzialmente dai dispositivi per interrogare i cambiamenti di stato di altri dispositivi o servizi (UPnP). Il campo „Callback“ nell’intestazione di una richiesta di sottoscrizione specifica l’URL a cui viene inviato il „messaggio di evento“ del dispositivo rispondente – e questo campo può essere manipolato dagli aggressori tramite „CallStranger“.

Utilizzando richieste di sottoscrizione appositamente preparate con URL di destinazione arbitrari, i dispositivi vulnerabili possono essere indotti con l’inganno a inviare traffico verso obiettivi arbitrari nel corso di un attacco Distributed Denial of Service (DDos) – da cui il nome della vulnerabilità. Secondo Çadırcı, è anche possibile utilizzare CallStranger per bypassare i meccanismi di sicurezza tramite dispositivi accessibili da Internet, al fine di estrarre i dati dalle reti interne e di scansionare i dispositivi che vi si trovano alla ricerca di porte aperte. Ciò rende la vulnerabilità un rischio non solo per quelli (attualmente oltre cinque milioni secondo il motore di ricerca dell’internet degli oggetti Shodan) accessibili via internet, ma anche per i dispositivi vulnerabili della rete locale.

Il ricercatore ha spiegato i vari scenari di attacco in un rapporto dettagliato. Ha anche pubblicato il suo codice di proof-of-concept presso GitHub – sotto forma di uno script che dice immediatamente all’utente se e quali dispositivi UpnP nella sua rete sono vulnerabili.

Le porte UPnP per Internet sono meglio chiuse

Universal Plug and Play (UPnP) consente ai dispositivi sulla rete locale di annunciare i loro servizi e di scambiare i comandi di controllo, tra le altre cose. Questo è conveniente e riduce lo sforzo di configurazione. Tuttavia, non appena i dispositivi compatibili con UPnP rispondono non solo alle richieste provenienti dalla rete locale ma anche da Internet, diventano un potenziale rischio per la sicurezza.

Di conseguenza, il CERT Coordination Center della Carnegie Mellon University consiglia in una consulenza su CallStranger di disattivare la funzione UPnP (soprattutto, ma non solo) per i dispositivi raggiungibili via Internet.Çadırcı raccomanda inoltre in una sezione corrispondente del suo sito web su CallStranger di chiudere almeno tutte le porte UPnP inutilizzate che possono essere raggiunte dalla rete. I dispositivi rilevanti per la sicurezza dovrebbero inoltre bloccare i pacchetti Subscribe and Notify-HTTP.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.