CallStranger: Neue Sicherheitslücke in Universal Plug and Play

Meldung von doelf, Donnerstag der 11.06.2020, 13:48:29 Uhr

In Zeiten von allgegenwärtigen Multimedia- und IoT-Geräten ist die Protokollsammlung Universal Plug and Play (UPnP) sehr praktisch, doch als sonderlich sicher galt UPnP nie. Eine neue Sicherheitslücke namens CallStranger (CVE-2020-12695) lässt sich aus der Ferne ohne Authentifizierung ausnutzen und bietet Angreifern die Möglichkeit, DDoS-Angriffe auszuführen sowie Daten zu stehlen.

Was ist UPnP und wozu braucht man das?
UPnP ermöglicht die herstellerübergreifenden Ansteuerung von vernetzten Geräten über ein IP-basiertes Netzwerk. Neben Computern und Netzwerkgeräten wie Routern gehören hierzu auch Drucker und Multifunktionsgeräte, die Heimautomatisierung sowie die Multimediaschiene vom Smart-TV über den Sat-Empfänger bis zum vernetzten Verstärker und Receiver. Genauso vielfältig wie die vernetzten Geräte sind auch die dafür genutzten Protokolle, denn bei UPnP handelt es sich nicht um ein einzelnes Protokoll, sondern um eine ganze Sammlung. Ursprünglich von Microsoft ersonnen, wurde UPnP von 1999 bis 2016 vom UPnP-Forum weiterentwickelt. Mit dem Jahr 2016 übernahm die Open Connectivity Foundation (OCF) die Verantwortung.

Die Sicherheitslücke CallStranger (CVE-2020-12695)
Die Funktion Subscribe ermöglicht es UPnP-Geräten, den Status anderer UPnP-Geräte abzufragen. Im Feld Callback wird dabei angegeben, wohin das Ereignis gemeldet werden soll. Das Ziel ist dabei eine URL, doch Angreifer können diese ersetzen und somit beliebige Ziele definieren. Ist ein UPnP-Gerät aus dem Internet erreichbar, lässt sich dies für Überlastungsangriffe (DDoS) nutzen, indem der Angreifer bei möglichst vielen Geräten die Adresse seines Opfers hinterlegt, das in der Folge mit Statusmeldungen überschüttet wird. Weiterhin lassen sich Schutzmaßnahmen wie Data Leakage Prevention (DLP) umgehen, um Daten aus dem lokalen Netz zu stehlen. Auch die Suche nach offen Ports ist möglich.

Der türkische Sicherheitsexperte Yunus Çadırcı hatte den Fehler entdeckt und am 20. Dezember 2019 der OCF gemeldet. Diese meldete sich zwar zeitnah zurück, sah das Problem allerdings in den Implementierungen bestimmter Hersteller. Yunus Çadırcı blieb indes hartnäckig und widerlegte diese Einschätzung, was letztendlich zu einer Klärung der Protokollspezifikationen führte. Die ursprünglich für den 21. April 2020 geplante Veröffentlichung der Sicherheitslücke wurde zweimal verschoben, da Gerätehersteller und Internetanbieter mehr Zeit für die Bereitstellung von Updates benötigt hatten. Am Montag hatte Yunus Çadırcı dann CallStranger dokumentiert und auch den zugehörigen Beispiel-Code veröffentlicht.

Die Lösung: UPnP Device Architecture 2.0
Abhilfe schafft die UPnP Device Architecture 2.0, eine am 17. April 2020 vorgestellte Überarbeitung der UPnP-Vorgaben. Gerätehersteller müssen ihre Firmware nun anhand dieser Vorgaben überarbeiten und die resultierenden Firmware-Updates ihren Kunden zur Verfügung stellen. Wenn dann alle Hersteller alle Geräte versorgt und die Kunden alle Updates heruntergeladen und eingespielt haben, werden zugleich Weihnachten und Ostern auf einen Tag fallen und alle Chöre des Himmels das schöne Lied Always Look on the Bright Side of Life anstimmen. Und da dies nie geschehen wird, sollte man lieber den UPnP-Zugriff aus dem Internet kappen.

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]