Rapid7 er ude med en advarsel om at millioner af enheder på Internettet er sårbare overfor simple angreb via uPNP (http://da.wikipedia.org/wiki/Universal_Plug_and_Play) protokolen. Det kan i værste konsekvens føre til systematiske portscanninger efter sårbare systemer, målrettede og sporadiske angreb og endda selv-replikerende kode.
Problematikken omkring WAN tilgængelige uPNP enheder er naturligvis kritisk, men handler i høj grad også om dårlig bruger disciplin, forældede og ikke driftede servere, og endeligt at enkelte ISP'ere ikke har skærmet de protokoler der transporterer uPNP trafik.
Allerførst lad os slå fast: uPNP burde udelukkende være tilgængelige via LAN - hvis overhovedet - og absolut ikke via WAN. Det er protokolen slet ikke designet til.
uPNP understøttelse kan optræde i routere, NAS servere, Xboxe, Playstations og SmartTVs, Linux og Windows installationer, men faktisk bør uPNP slås helt fra, idet enhederne fint kan kommunikere og fungere uden understøttelse af "autodiscovery" og uPNP. Det er ingen undskyldning at man har behov for uPNP til spilkonsoler. Det er en myte.
Sandheden er uPNP ikke er baseret på nogen form for authenfikation (den er "broadcast-to-discover -> unicast-to-access protocol baseret" og derved er en tikkende bombe under systemer der har uPNP slået til.
CSIS anbefaler at man deaktiverer alle uPNP services på udstyr i virksomhedens netværk.
Yderligere oplysninger:
https://community.rapid7.com/community/infosec/blog/2013/01/29/security-flaws-in-universal-plug-and-play-unplug-dont-play
http://www.kb.cert.org/vuls/id/922681
http://www.us-cert.gov/current/#cert_releases_upnp_security_advisory
↧
CSIS Blog: Millioner af systemer sårbare overfor uPNP angreb
↧