Los protocolos Universal Plug and Play (UPnP) están presentes en la mayoría de nuestros dispositivos de red y hasta ahora era práctica común el facilitar el acceso a los mismos directamente desde internet, para tareas de mantenimiento o para facilitar su uso. Un estudio de Rapid7 ha descubierto diversos fallos de seguridad que pueden permitir a un atacante remoto identificar facilmente nuestros dispositivos y explotar sus vulnerabilidades.
Universal Plug and Play es un conjunto de protocolos de red que permiten que muchos de nuestros dispositivos de red (impresoras, nas...) sean automaticamente descubiertos en la red, facilitando de esta manera la interacción con los mismos desde otros dispositivos en red, por ejemplo cuando conectamos una impresora de red, estos protocolos en muchos casos nos permiten conseguir del propio dispositivo los drivers para automatizar la instalación. Los problemas de seguridad aparecen en estos dispositivos UPnP que están conectados directamente a internet, permitiéndonos acceder a ellos desde el exterior.
Rapid7, ha estado llevando a cabo un estudio sobre el Portable SDK para los dispositivos UPnP (libupnp) y la manera en la que este protocolo se comporta en cuestiones de seguridad de cara a internet. Las conclusiones del estudio, disponibles en su informe Security Flaws in Universal Plug and Play, son bastante preocupantes ya que se han encontrado por ejemplo múltiples vulnerabilidades de buffer overflow en el protocolo Simple Service Discovery (SSDP) de libupnp y según los datos de Rapid7, aproximadamente unos 40 millones de IP IPv4 serían vulnerables a estas vulnerabilidades buffer overflow.
Otra de las vulnerabilidades que afectarían al Portable SDK de UPnP sería la de ejecución de código remoto, para la cual se han identificado cerca de 23 millones de IPs vulnerables...
Las vulnerabilidades identificadas por Rapid7, ya se han corregido en la versión 1.6.18 del Portable UPnP SDK, pero imaginaos cuanto puede tardar en desplegarse esta nueva versión en nuestros dispositivos de red. Para la mayoría de dispositivos jamás aparecerá una actualización y para el resto es posible que salvo honrosas excepciones la actualización nunca llegué al usuario final. Por lo que se recomienda identificar y bloquear el acceso a internet de este tipo de dispositivos (gateways, impresoras de red, nas, camaras IP......)
Para facilitarnos en extremo nuestra tarea Rapid7 ha lanzado un scanner que podemos ejecutar en nuestra red para identificar los dispositivos vulnerables. Podéis conseguir ScanNow UPnP en el siguiente link.
