UPnP, nuovo problema di sicurezza facilita attacchi da remoto

Abbiamo detto più volte quanto sia rischioso mantenere attivo l’utilizzo del protocollo UPnP (Universal Plug and Play) sui propri dispositivi consigliandone la disattivazione su qualsiasi router: UPnP, a cosa serve e perché va disattivato immediatamente.
Ne abbiamo parlato anche nell’articolo Router, le operazioni da fare per renderlo sicuro al punto 6) Disattivare UPnP e controllare il port forwarding.

UPnP è un protocollo studiato per facilitare la comunicazione tra dispositivi all’interno della rete locale ma può essere utilizzato anche per aprire porte in ingresso sul router attivando il port forwarding verso specifici dispositivi. In questo modo, gli stessi dispositivi diventano raggiungibili dalla rete Internet con tutto ciò che ne consegue: Sicurezza router, il pericolo può arrivare anche da UPnP?.

CallStranger, nuova vulnerabilità UPnP che può facilitare la sottrazione di dati, attacchi DDoS e la scansione delle reti LAN

A dicembre 2019 il ricercatore Yunus Çadirci ha segnalato privatamente alla Open Connectivity Foundation (OCF), organizzazione che si occupa dello sviluppo di UPnP, la presenza di una nuova grave vulnerabilità.

Battezzata CallStranger (CVE-2020-12695) si ha notizia della lacuna di sicurezza solamente oggi perché a metà aprile scorso OCF si è messa in contatto con i produttori dei vari dispositivi di networking affinché si attivassero per risolvere la falla.

Çadirci spiega che l’attacco a UPnP ricorda da vicino le aggressioni di tipo SSRF (Server-side request forgery): un aggressore può infatti abusare delle funzionalità del dispositivo che consente l’utilizzo di UPnP per sottrarre informazioni personali e dati sensibili superando le difese poste in essere da altri device che si occupano della protezione della rete. È inoltre possibile disporre scansioni delle reti locali sfruttando dispositivi che espongono UPnP sull’IP pubblico nonché usare milioni di device UPnP vulnerabili, collegati alla rete Internet, per lanciare attacchi DDoS.

Consultando il motore di ricerca Shodan ad oggi sono quasi 5,5 milioni i dispositivi che sono raggiungibili via Internet usando il protocollo UPnP.

UPnP è stato concepito solo per lavorare sulla LAN ma molti router espongono erroneamente UPnP anche sulla porta WAN/Internet: per questo ne consigliamo in ogni caso la disattivazione.
Il test di Gibson Research consente di controllare che il router in uso non esponga UPnP sulla rete Internet (fare clic sul pulsante giallo GRC’s Instant UPnP Exposure Test).

Da parte sua Çadirci ha messo a disposizione uno script su GitHub che aiuta a verificare se alla rete locale fossero collegati dispositivi vulnerabili all’attacco CallStranger.