CallStranger: Universal-Plug-and-Play-Schwachstelle in Milliarden von Geräten
Über die Schwachstelle CallStranger könnte ein Angreifer wildfremde, aus dem Internet via UPnP erreichbare Geräte für beliebige DDoS-Attacken einspannen.
Ein Sicherheitsforscher hat eine Schwachstelle entdeckt, die Angreifer missbrauchen könnten, um sich aus der Ferne und ohne Authentifizierung Zugriff auf UPnP-Geräte (Universal Plug and Play) zu verschaffen. Die auf den Namen "CallStranger" (CVE-2020-12695) getaufte Schwachstelle steckt direkt im UPnP-Protokoll und betrifft nach Einschätzung ihres Entdeckers Yunus Çadırcı Milliarden netzwerkfähiger Geräte, die auf Anfragen via UPnP antworten. Mehrere Millionen dieser Geräte sind über das Internet erreichbar.
Laut Informationen auf der eigens eingerichteten CallStranger-Website hat der Forscher die für das Protokoll zuständige Open Connectivity Foundation (OCF) Ende Dezember über die Schwachstelle informiert. Diese habe am 17. April eine aktualisierte, abgesicherte Protokoll-Version veröffentlicht. Nach Einschätzung Çadırcıs dürfte es allerdings noch eine ganze Weile dauern, bis die meisten Hersteller auf Basis der aktualisierten UPnP-Spezifikation (Firmware-) Updates entwickelt und bereitgestellt haben. Hinzu kommen jene (IoT-)Billig-Geräte, die grundsätzlich keine Sicherheitsupdates erhalten.
Çadırcı hat eine erste Liste von Geräten (beziehungsweise betroffener Firmware) und Betriebssystemen veröffentlicht, deren Hersteller die Angreifbarkeit bereits bestätigt haben und/oder die er mit eigenem Proof-of-Concept-Code erfolgreich angegriffen hat. Auf ihr finden sich diverse Router ebenso wie beispielsweise netzwerkfähige Drucker, IP-Kameras, sowie smarte Türklingeln und Fernseher. Auch Windows 10 (wohl alle Versionen inkl. Server) sowie das Betriebssystem der Xbox One sind vertreten.
DDoS-Angriffe und Informationsdiebstahl
CallStranger / CVE-2020-12695 steckt in der Subscribe-Funktion des UPnP-Standards, die Geräten im Wesentlichen dazu dient, Statusänderungen anderer (UPnP-)Geräte oder Services abzufragen. Das Feld "Callback" im Header einer Subscribe-Anfrage gibt an, an welche URL(s) die "Event Message" des antwortenden Geräts geschickt wird – und eben dieses Feld ist via "CallStranger" durch Angreifer manipulierbar.
Mittels speziell präparierter Subscribe-Anfragen mit beliebigen Ziel-URLs lassen sich verwundbare Geräte im Zuge eines Distributed-Denial-of-Service (DDos-)Angriffs dazu bringen, Traffic an beliebige Ziele zu schicken – daher wohl auch der Name der Schwachstelle. Weiterhin ist es laut Çadırcı auch möglich, mit CallStranger über den Umweg der aus dem Internet erreichbaren Geräte Sicherheitsmechanismen zu umgehen, um Daten aus internen Netzwerken zu exfiltrieren sowie die dort befindlichen Geräte auf offene Ports zu scannen. So wird die Schwachstelle nicht nur für die (laut der IoT-Suchmaschine Shodan derzeit über fünf Millionen) übers Internet erreichbaren, sondern auch für verwundbare Geräte im lokalen Netz zum Risiko.
Der Forscher hat die verschiedenen Angriffsszenarien in einem ausführlichen Report erläutert. Zudem hat er seinen Proof-of-Concept-Code bei GitHub veröffentlicht – in Form eines Skripts, das dem Nutzer auch gleich verrät, ob und welche UpnP-Geräte im eigenen Netzwerk verwundbar sind.
UPnP-Ports zum Internet am besten schlieĂźen
Über Universal Plug and Play (UPnP) können Geräte im lokalen Netzwerk unter anderem ihre Dienste ankündigen und Steuerbefehle austauschen. Das ist komfortabel und reduziert den Konfigurationsaufwand. Sobald UPnP-fähige Geräte allerdings nicht nur auf Anfragen aus dem lokalen Netz, sondern auch aus dem Internet antworten, werden sie zum potenziellen Sicherheitsrisiko.
Folgerichtig rät das CERT Coordination Center der Carnegie Mellon University in einem Advisory zu CallStranger auch dazu, die UPnP-Funktion (vor allem, aber nicht nur) bei Geräten, die übers Internet erreichbar sind, nach Möglichkeit zu deaktivieren.Auch Çadırcı empfiehlt in einem entsprechenden Abschnitt seiner Website zu CallStranger, mindestens alle nicht genutzten aus dem Netz erreichbaren UPnP-Ports zu schließen. Sicherheitsrelevante Geräte sollten zusätzlich Subscribe und Notify-HTTP-Pakete blockieren. (ovw)