I risultati di una ricerca condotta dagli esperti di Rapid7, società specializzata nella sicurezza informatica, hanno portato alla luce un problema, ampiamente diffuso, che interesserebbe milioni di utenti in tutto il mondo. Secondo quanto rivelato da HD Moore, famoso esperto in materia di sicurezza, durante le indagini condotte dal team di Rapid7, circa 81 milioni di indirizzi IP unici collegati alla rete Internet avrebbero evidenziato la presenza delle vulnerabilità oggetto d’esame.
Al centro delle ricerche condotte da HD Moore e dai suoi collaboratori vi è UPnP (Universal Plug and Play), un protocollo che facilita le comunicazioni tra dispositivi e computer, abilitato di default su milioni di sistemi tra i quali router, stampanti, media server, videocamere IP, smart TV, server per lo storage di rete e così via. Il supporto per UPnP è altresì attivato in modo predefinito sui sistemi Windows, su Mac OS X e su molte distribuzioni Linux.
HD Moore spiega che UPnP soffre di un gran numero di problematiche di sicurezza piuttosto “basiche” che sono state messe in luce, addirittura, da ben dodici anni a questa parte. Sono pochi, poi, i produttori di dispositivi che implementano meccanismi di autenticazione su UPnP. Così, spesso accade che l’accesso a dati personali diventa possibile da una rete informatica non affidabile.
Nel documento di Rapid7, scaricabile cliccando qui, si spiega che – durante i test condotti nelle scorse settimane – ben 81 milioni di IP unici hanno risposto a richieste UPnP standard formulate da remoto.
Ottenendo risposta, un aggressore può facilmente sferrare una attacco che abbia come obiettivo quello di eseguire codice nocivo in modalità remota. Risultato? Lo stesso malintenzionato potrebbe arrivare a rubare password e sottrarre dati sensibili, impiantare malware o prendere pieno possesso dei sistemi vulnerabili.
HD Moore preconizza un’ecatombe se i vari soggetti, dal singolo utente sino al provider Internet, non porranno in essere alcune azioni di fondamentale importanza.
Agli Internet provider, il documento di Rapid7 consiglia di accertarsi che il protocollo UPnP non sia esposto sull’interfaccia WAN. Tale verifica dovrebbe essere condotta su qualunque modem o router fornito dal provider Internet a tutti i suoi clienti.
Analogamente, ogni azienda dovrebbe accertarsi che nessuno dei dispositivi di rete che si affacciano sulla rete Internet esponga UPnP. Anche gli utenti home ed i possessori di device mobili dovrebbero verificare che i loro modem-router o comunque i dispositivi utilizzati per collegarsi alla Rete non facciano uso di UPnP. Secondo Rapid7 ben 6.900 prodotti hardware sarebbero vulnerabili ad attacchi UpnP.
Il supporto per il protocollo UPnP viene previsto, in molti router, a partire dal 2002-2003. Oggi, inoltre, molti altri dispositivi hardware (TV, riproduttori DVD, console di gioco, videocamere IP, stampanti, fax…) utilizzano per default il medesimo protocollo che non prevede alcun tipo di autenticazione. L’assenza di un meccanismo di autenticazione è stata pensata per permettere il dialogo immediato e semplificato tra i vari dispositivi UPnP connessi alle stessa rete locale.
Il grave errore è che UPnP non è stato concepito per l’interazione con device remoti, connessi con la rete Internet ma solo per facilitare lo scambio di dati tra le varie periferiche connesse alla rete locale. Estendendo alla rete Internet l’utilizzo di UPnP, si offre il fianco ad attacchi sferrati da parte di malintenzionati (si regala un accesso diretto alla rete locale).
“L’errore è dei produttori di router“, sostiene Steve Gibson. “Ormai che la frittata è fatta, l’unica cosa che i produttori possono e devono fare, è rilasciare un aggiornamento del firmware per i vari loro prodotti hardware“.
Per verificare se il proprio router rispondesse alle richieste di connessione attraverso il protocollo UPnP, è possibile ricorrere al test pubblicato da Steve Gibson a questo indirizzo.
Tutto ciò che bisognerà fare, è cliccare sul pulsante Proceed quindi su GRC’s Instant UPnP Exposure Test:
Si otterrà il messaggio “Your equipment at IP x.x.x.x is now being queried“. La miglior risposta ottenibile è quella seguente:
In questo caso il router fa cadere nel vuoto ogni richiesta di connessione UPnP proveniente dall’esterno. Quella riportata nella figura successiva è invece la situazione peggiore: il router ha risposto alla richiesta di connessione UPnP aprendo la strada, di conseguenza, ad un attacco.
C’è poi una terza situazione (il servizio allestito da Steve Gibson espone il messaggio “the equipment at the target IP address actively rejected our UPnP probes“. In questo caso, il router o comunque il dispositivo hardware connesso con l’indirizzo IP indicato ha rigettato la richiesta di connessione pur confermando la sua effettiva presenza. In altre parole, l’aggressore può soltanto stabilire che collegato all’indirizzo IP c’è un dispositivo hardware ma non può stabilire la sua identità né sferrare alcun attacco.
Ciò che bisogna verificare, quindi, e in questo il servizio allestito da Steve Gibson offre consigli utilissimi, è che il router in uso permetta l’impiego di UPnP, eventualmente, solo all’interno della rete locale ma non ne estenda il possibile utilizzo al di fuori della stessa. La porta UDP 1900 non deve essere aperta e raggiungibile da reti esterne. Se GRC dovesse visualizzare il messaggio “ the equipment at the target IP address did respond to our UPnP probes“, la prima cosa da fare è verificare l’impostazione del router relativamente al procollo UPnP accedendo al suo pannello di controllo (solitamente basta digitare http://192.168.1.1
o http://192.168.0.1
nella barra degli indirizzi del browser).
Qualora la casella che permette la disabilitazione del protocollo UPnP in esterna non dovesse funzionare, è bene provvedere a cercare immediatamente, sul sito web del produttore del router, un aggiornamento del firmware.