CallStranger UPnP-Bug ermöglicht Datendiebstahl, DDoS etc.

[English]Aktuell sind Milliarden Geräte durch einen Bug gefährdet, wenn dort UPnP verwendet wird. Die CallStranger genannte Schwachstelle ermöglicht Daten abzuziehen, Denial-of-Service-Angriffe (DDoS) durchzuführen und interne Netzwerke zu scannen.


Anzeige

Die UPnP-Funktion

Universal Plug and Play (UPnP) ist eine Gerätefunktion, die der automatischen Erkennung von Geräten im Netzwerk und der Interaktion mit diesen dient. Es ist für den lokalen Einsatz in einem vertrauenswürdigen Netzwerk vorgesehen, da keine Authentifizierung oder Verifizierung stattfindet. Router bieten solche Funktionen, damit Clients das Netzwerk durchsuchen können.

Die CallStranger-Schwachstelle CVE-2020-12695

Die als CallStranger bezeichnete Schwachstelle CVE-2020-12695 wurde von Sicherheitsforscher Yunus Çadirci entdeckt und am 12. Dezember 2019 an die Open Connectivity Foundation (OCF) gemeldet (siehe diese CallStranger-Webseite). Die Organisation ist für die UPnP-Entwicklung zuständig.

Die CallStranger-Schwachstelle, die in Milliarden von UPNP-Geräten zu finden ist, kann dazu verwendet werden, Daten zu exfiltrieren (selbst wenn Sie über geeignete DLP-/Schutzmaßnahmen verfügen), ein Netzwerk zu scannen oder das Netzwerk sogar für einen DDoS-Angriff zu missbrauchen, schreibt der Forscher auf GitHub.


Anzeige

Die CallStranger-Schwachstelle wird durch den Wert des Callback-Headers in der UPnP-SUBSCRIBE-Funktion verursacht, die von einem Angreifer kontrolliert werden kann. Dies ermöglicht eine SSRF-ähnliche Schwachstelle, die Millionen von Geräten mit Internetanschluss und Milliarden von LAN-Geräten betrifft.

Ein Fix: Nur auf lange Sicht

Die Kollegen von Bleeping Computer schreiben hier, dass ein Patch seit 2 Monaten zur Verfügung steht. Es gibt wohl eine Revision 2.0 der UPnP-Schnittstelle. Problem ist, dass der Patch für alle Geräte in nächster Zeit bereitgestellt wird und das Nutzer die Geräte aktualisieren. Das dürfte das Problem werden, denn es hängt von den Anbietern ab, den Fix zu implementieren. Das braucht Zeit, und es wird eine Menge Geräte geben, die nicht mehr unterstützt werden und so keine Updates erhalten. Zudem werden unterstützte Geräte nicht durch die Anwender aktualisiert.

Gegenmaßnahmen und Besonderheiten

Bleeping Computer zitiert Çadirci, dass nicht alle UPnP-Stacks anfällig sind. Miniupnp zum Beispiel ist es nicht. Çadirci, hat diese Seite mit einer Liste der angreifbaren Geräte veröffentlicht. In Ermangelung eines aktualisierten UPnP-Stacks empfiehlt er die folgenden Schritte zur Risikominderung:

  • Deaktivieren Sie unnötige UPnP-Dienste, insbesondere für Geräte/Schnittstellen, die mit dem Internet verbunden sind.
  • Überprüfen Sie Intranet- und Server-Netzwerke, um sicherzustellen, dass UPnP-Geräte (Router, IP-Kameras, Drucker, Medien-Gateways usw.) keine Datenexfiltration zulassen.
  • Durchsuchen Sie Netzwerksicherheitsprotokolle, um zu überprüfen, ob diese Schwachstelle von einem Bedrohungsakteur ausgenutzt wurde.

Nutzer sollten zudem den Hersteller der Geräte kontaktieren, um nachzufragen, ob ein Update bereitsteht oder geplant ist. Man kann  auch seine Internetanbieter kontaktieren, und nachfragen, ob es einen DDoS-Schutz gibt (macht nur Sinn, wenn dieser Anbieter Lösungen hat, die den von UPnP SUBSCRIBE (HTTP NOTIFY) erzeugten Datenverkehr blockieren können). heise hat hier einige zusätzliche Informationen zusammen getragen.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu CallStranger UPnP-Bug ermöglicht Datendiebstahl, DDoS etc.

  1. Anonymous sagt:

    https://avm.de/service/aktuelle-sicherheitshinweise/
    "
    Callstranger – FRITZ!Box nicht betroffen

    Derzeit wird unter dem Stichwort "Callstranger" darüber berichtet, dass Sicherheitsforscher eine Möglichkeit zur Traffic Amplification über das UPnP-Protokoll gefunden haben. FRITZ!Box ist nicht betroffen, da UPnP dort nicht aus dem Internet erreicht oder genutzt werden kann.
    "

  2. 1ST1 sagt:

    Ich habe das Python-Script zu CallStranger in meinem Heim-Netz laufen gelassen. Mein Router, ein Accesspoint, der Philips-Smart-TV und alle Windows-10-Rechner im Netz waren betroffen. Die Windows-PCs sind inzwischen durch den aktuellen Windows-Patchday gefixt. Beim Router ist kein Port im Internet offen. Für meinen Router, denke ich, wird bald ein Update kommen, das passiert momentan alle ca. 3-6 Monate, dass da was kommt. Bei dem Fernseher und dem Acces-Point mache ich mir da keine Hoffnung, deren letzte Firmwareupdates liegen schon 3-4 Jahre zurück.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.