Már lehetett olvasni róla, hogy az Internet jelentős része veszélyben van a kint felejtett UPnP portok miatt. A Rapid7 riportja igen kimerítően elemzi a témát, ezért a részletekbe nem mennék bele, inkább egy kis összefoglalót és néhány megjegyzést közölnék.

Dióhéjban az UPnP-ről: A hálózaton szétküldünk SSDP üzeneteket, melyekre az UPnP képes eszközök válaszolnak. A válasz tartalmazza az eszközök HTTP kiszolgálójának és az azon található szolgáltatás leírónak az elérési útját. Az XML leíró alapján a felfedezett HTTP szerveren keresztül SOAP hívásokkal tudunk különböző utasításokat adni az eszköznek.

Először is, az alapvető probléma nem az UPnP protokolljaival van. A kutatás egyrészt egyes protokoll-implementációk sérülékenyeire mutat rá, valamint figyelmeztet, hogy kb. 17 millió UPnP eszköz SOAP interfésze internet-irányból is elérhető - ezek a felületek gyakran nem kérnek hitelesítést, és lehetőséget adnak az eszközök távoli vezérlésére (pl. port forwarding beállítása). Utóbbi problémáról már jó ideje tudunk, de ilyen jellegű méréshez még nem volt szerencsénk. Az implementációs problémákkal kapcsolatban rendkívül érdekes megállapítás, hogy a neten hallgató eszközök háromnegyede mindössze négy gyártó implementációját használja!

Ebből a Rapid7 két UPnP stackre, az Intel libupnp-jére és a MiniUPnP-re fordított külön figyelmet. A libupnp SSDP parsere összesen nyolc stack túlcsordulásos problémát javít: Ezek korlátozott byte-készlettel használhatók ki, a rendelkezésre álló hely viszont elég nagy, és egy bónusz NULL-t tetszőleges helyre beszúrhat a támadó egy string termináló utasítás kihasználásával - igazi csemege az ARM hackereknek ;) A hiba kihasználásával a támadó egyetlen UDP csomaggal átveheti az irányítást a készülék felett. 

A MiniUPnP esetében a gyártó már ugyan korábban kiadott frissítéseket, melyekben csendben javította a Rapid7 által közzétett problémákat - ez azonban sovány vigasz, a könyvtárat használó eszközök nagyobbik része ugyanis sérülékeny verzióval fut. Itt DoS problémákról illetve egy távolról, a SOAP interfészen keresztül kihasználható egyszerű stack túlcsordulásról van szó. 

A maradék két gyártóval a Rapid7 nem foglalkozott, két értékes célpont tehát még maradt az erdőben. Nem sokkal a tárgyalt tanulmány megjelenése után azonban a DefenseCode is kiszivárogtatott némi infót egy Linksys routerben felfedezett sérülékenységről. Mint kiderült, a probléma éppen az egyik, Rapid7 által nem azonosított gyártót - most már tudjuk, hogy a Broadcom-ot - érinti, akinek az UPnP megvalósítása több mint 100 (nem csak Broadcom) termékben, 15.8 millió neten figyelő eszközben van jelen. Ez a format string sérülékenység az egyik SOAP metódust érinti.

Egy gyártó (és egy Magyarországnyi eszköz) tehát még maradt, de nem lepődnék meg, ha hamarosan erről az implementációról is lehullana a lepel és kiesne pár bug.

Zárjátok be az UPnP-t!