[English]Aktuell sind Milliarden Geräte durch einen Bug gefährdet, wenn dort UPnP verwendet wird. Die CallStranger genannte Schwachstelle ermöglicht Daten abzuziehen, Denial-of-Service-Angriffe (DDoS) durchzuführen und interne Netzwerke zu scannen.
Anzeige
Die UPnP-Funktion
Universal Plug and Play (UPnP) ist eine Gerätefunktion, die der automatischen Erkennung von Geräten im Netzwerk und der Interaktion mit diesen dient. Es ist für den lokalen Einsatz in einem vertrauenswürdigen Netzwerk vorgesehen, da keine Authentifizierung oder Verifizierung stattfindet. Router bieten solche Funktionen, damit Clients das Netzwerk durchsuchen können.
Die CallStranger-Schwachstelle CVE-2020-12695
Die als CallStranger bezeichnete Schwachstelle CVE-2020-12695 wurde von Sicherheitsforscher Yunus Çadirci entdeckt und am 12. Dezember 2019 an die Open Connectivity Foundation (OCF) gemeldet (siehe diese CallStranger-Webseite). Die Organisation ist für die UPnP-Entwicklung zuständig.
It can be used for data exfiltration, DDoS and port scanning. You can find detailed information on https://t.co/3ZL1n4iSOo and all tools you need on https://t.co/UyyKrbj8Bm
— Yunus ÇADIRCI (@yunuscadirci) June 8, 2020
Die CallStranger-Schwachstelle, die in Milliarden von UPNP-Geräten zu finden ist, kann dazu verwendet werden, Daten zu exfiltrieren (selbst wenn Sie über geeignete DLP-/Schutzmaßnahmen verfügen), ein Netzwerk zu scannen oder das Netzwerk sogar für einen DDoS-Angriff zu missbrauchen, schreibt der Forscher auf GitHub.
Anzeige
Die CallStranger-Schwachstelle wird durch den Wert des Callback-Headers in der UPnP-SUBSCRIBE-Funktion verursacht, die von einem Angreifer kontrolliert werden kann. Dies ermöglicht eine SSRF-ähnliche Schwachstelle, die Millionen von Geräten mit Internetanschluss und Milliarden von LAN-Geräten betrifft.
Ein Fix: Nur auf lange Sicht
Die Kollegen von Bleeping Computer schreiben hier, dass ein Patch seit 2 Monaten zur Verfügung steht. Es gibt wohl eine Revision 2.0 der UPnP-Schnittstelle. Problem ist, dass der Patch für alle Geräte in nächster Zeit bereitgestellt wird und das Nutzer die Geräte aktualisieren. Das dürfte das Problem werden, denn es hängt von den Anbietern ab, den Fix zu implementieren. Das braucht Zeit, und es wird eine Menge Geräte geben, die nicht mehr unterstützt werden und so keine Updates erhalten. Zudem werden unterstützte Geräte nicht durch die Anwender aktualisiert.
Gegenmaßnahmen und Besonderheiten
Bleeping Computer zitiert Çadirci, dass nicht alle UPnP-Stacks anfällig sind. Miniupnp zum Beispiel ist es nicht. Çadirci, hat diese Seite mit einer Liste der angreifbaren Geräte veröffentlicht. In Ermangelung eines aktualisierten UPnP-Stacks empfiehlt er die folgenden Schritte zur Risikominderung:
- Deaktivieren Sie unnötige UPnP-Dienste, insbesondere für Geräte/Schnittstellen, die mit dem Internet verbunden sind.
- Überprüfen Sie Intranet- und Server-Netzwerke, um sicherzustellen, dass UPnP-Geräte (Router, IP-Kameras, Drucker, Medien-Gateways usw.) keine Datenexfiltration zulassen.
- Durchsuchen Sie Netzwerksicherheitsprotokolle, um zu überprüfen, ob diese Schwachstelle von einem Bedrohungsakteur ausgenutzt wurde.
Nutzer sollten zudem den Hersteller der Geräte kontaktieren, um nachzufragen, ob ein Update bereitsteht oder geplant ist. Man kann auch seine Internetanbieter kontaktieren, und nachfragen, ob es einen DDoS-Schutz gibt (macht nur Sinn, wenn dieser Anbieter Lösungen hat, die den von UPnP SUBSCRIBE (HTTP NOTIFY) erzeugten Datenverkehr blockieren können). heise hat hier einige zusätzliche Informationen zusammen getragen.
Anzeige
https://avm.de/service/aktuelle-sicherheitshinweise/
"
Callstranger – FRITZ!Box nicht betroffen
Derzeit wird unter dem Stichwort "Callstranger" darüber berichtet, dass Sicherheitsforscher eine Möglichkeit zur Traffic Amplification über das UPnP-Protokoll gefunden haben. FRITZ!Box ist nicht betroffen, da UPnP dort nicht aus dem Internet erreicht oder genutzt werden kann.
"
Ich habe das Python-Script zu CallStranger in meinem Heim-Netz laufen gelassen. Mein Router, ein Accesspoint, der Philips-Smart-TV und alle Windows-10-Rechner im Netz waren betroffen. Die Windows-PCs sind inzwischen durch den aktuellen Windows-Patchday gefixt. Beim Router ist kein Port im Internet offen. Für meinen Router, denke ich, wird bald ein Update kommen, das passiert momentan alle ca. 3-6 Monate, dass da was kommt. Bei dem Fernseher und dem Acces-Point mache ich mir da keine Hoffnung, deren letzte Firmwareupdates liegen schon 3-4 Jahre zurück.