Podatność nazwano „CallStranger” (CVE-2020-12695). Nazwa jest bardzo adekwatna, ponieważ luka bezpieczeństwa dotyczy protokołu który umożliwia komunikację pomiędzy urządzeniami. Narażona jest spora grupa produktów plug-and-play, w tym konsole Xbox, drukarki, routery, switche oraz kamery producentów takich jak Microsoft, Cisco, Canon, HP, czy Philips. Pełną listę podatnych urządzeń (oraz tych będących jeszcze na etapie weryfikacji) znajdziecie na tej stronie.
Atakujący dzięki tej luce są w stanie nie tylko przeprowadzić atak DDoS, ale również skanować wewnętrzne porty w poszukiwaniu kolejnych podatnych urządzeń w firmowej sieci.
Podatność wykryta przez Yunus Çadırcı, Cyber Security Senior Manager’a w EY Turkey, jest ściśle powiązana z funkcją SUBSCRIBE w UpnP, która umożliwia monitorowanie statusów innych usług oraz urządzeń podpiętych do sieci. Problem z UPnP polega głównie na tym, że urządzenia z protokołem domyślnie „ufają” żądaniom przesyłanym przez inne urządzenia w sieci lokalnej, bez konieczności przeprowadzania wcześniejszego uwierzytelnienia.
Atakujący mogą przejąć kontrolę za pomocą specjalnie spreparowanych żądania SUBSCRIBE – wartość header nie jest sprawdzana. Mogą oni zapchać żądania sporą ilością URL na wszystkich podatnych urządzeniach, przeciążając infrastrukturę co skutkuje denial of service.
Atakujący mogą również wykradać dane. Połączone urządzenia często ujawniają swoje identyfikatory. Drukarki mogą umożliwiać monitorowanie statusu drukowania, a routery podawać szczegółowe informacje o nazwach i adresach urządzeń w sieci. Jak widać skala zagrożenia zmienia się w przypadku każdego z typu produktów.
17 kwietnia Open Connectivity Foundation (OCF) zaktualizowało specyfikację protokołu UPnP. Fundacja powiadomiła także vendorów i dostawców usług internetowych o potrzebie dostosowania się do nowej specyfikacji. Ponieważ jednak wada leży na poziomie samego protokołu, może upłynąć dużo więcej czasu nim wszyscy dostawcy rozwiążą ten problem.
Źródła: CallStranger.com | CERT Coordination Center | Dark Reading