UPnP-kwetsbaarheid raakt miljoenen apparaten

09 jun 2020

Beveiligingsexperts hebben een nieuwe UPnP-kwetsbaarheid ontdekt, genaamd Call Stranger. Deze kwetsbaarheid treft miljoenen apparaten en kan worden misbruikt voor verschillende kwaadaardige activiteiten. 

Wat is UPnP?

UPnP staat voor Universal Plug and Play en is een set netwerkprotocollen waarmee netwerkapparaten (zoals pc's, printers, scanners, mobiele apparaten en WiFi-toegangspunten) elkaars aanwezigheid op het netwerk kunnen ontdekken. Daarnaast kan UPnP een netwerk tot stand brengen voor het delen van gegevens, communicatie en voor entertainmentdoeleinden. UPnP vind je terug in routers en kan er automatisch voor zorgen dat poorten worden opengezet van en naar het internet.

De kwetsbaarheid van UPnP

De kwetsbaarheid, die wordt bijgehouden als CVE-2020-12695, stelt een aanvaller in staat om grote hoeveelheden gegevens naar willekeurige bestemmingen (die via internet toegankelijk zijn), te verzenden. Omdat er momenteel miljoenen UPnP-compatibele apparaten verbonden zijn met het internet, is dit een ideaal aanvalsoppervlak voor IoT-botnets.
Misbruik van deze kwetsbaarheid kan leiden tot een Distributed Denial of Service (DDoS), lekken van gegevens, omzeilen van netwerkbeveiligingsapparatuur en ander onverwacht netwerkgedrag.

Helaas bevindt de kwetsbaarheid zich in het UPnP protocol zelf (protocolkwetsbaarheid), wat betekent dat leveranciers er lang over kunnen doen om beveiligingspatches vrij te geven.

Wat kun jij als ondernemer doen?

  1. Zorg in ieder geval dat UPnP-diensten uitgeschakeld worden op routers en/of firewalls die direct verbonden zijn met het internet. Dit advies geldt al langer maar is vanwege de genoemde kwetsbaarheid nog belangrijker geworden.
  2. Schakel daarnaast UPnP-diensten uit op apparaten binnen je netwerk zoals netwerkprinters, NAS-systemen, IP camera’s, deurbellen en computers als daar geen bedrijfsmatige of technische reden voor is.

De lijst met bevestigde kwetsbare apparaten, aanvullende technische informatie en details, is te vinden op de website Callstranger. Gezien het onderzoek en ontwikkelingen wordt deze website regelmatig geüpdatet.