Zoals we onlangs meldden, zijn er wereldwijd veel routers in omloop met gebrekkige UPnP-functies waarmee aanvallers van buitenaf toegang kunnen krijgen tot het lokale netwerk. Heise heeft nu een online netwerkcontrole gepubliceerd die open UPnP-diensten detecteert.
Wie wil controleren of een apparaat onder zijn eigen internet-IP via UPnP toegankelijk is, kan de nieuwe UPnP-optie van de netwerkcheck van Heise gebruiken, die Heise Security in samenwerking met de staatscommissaris voor gegevensbescherming van Nedersaksen aanbiedt. Daarbij stuurt de scanner een zogenaamd ontdekkingsverzoek naar de UDP-poort 1900 van het IP-adres waarmee de pagina wordt bezocht. Wanneer de tool een antwoord ontvangt, geeft hij de inhoud van het ontvangen pakket weer. De dienst werkt momenteel echter alleen met IPv4. Als de netwerkcontrole de rode waarschuwing “Open UPnP-service gevonden” afgeeft, kunt u proberen de dienst handmatig via de firewall naar buiten toe te blokkeren of UPnP volledig uit te schakelen op de router en de apparaten.
Naar de netwerkcontrole van Heise Security
Achtergrond:
Het Computer Emergency Response Team (CERT) – vergelijkbaar met het Duitse Federale Bureau voor Informatiebeveiliging (BSI) – heeft in een beveiligingswaarschuwing bekendgemaakt dat de meeste routers die in de thuissector worden gebruikt, kwetsbaar zijn voor aanvallen van buitenaf. De boosdoener is een defecte Universal Plug and Play-functie.
In de kennisgeving van 29.01.2013 schrijven de specialisten dat er een fout zit in de bibliotheek “libupnp”, die in 2001 door Intel is ontwikkeld. Deze bibliotheek is verantwoordelijk voor verschillende functies van Universal Plug and Play (UPnP). Deze fout kan leiden tot een bufferoverloop, waarbij een aanvaller van buitenaf toegang kan krijgen tot het interne netwerk, aangezien de getroffen apparaten ook vanaf het externe netwerk (internet) op UPnP reageren.
CERT geeft (nog) geen details over welke routers van welke fabrikanten getroffen zijn, maar noemt bedrijven als Huawei, Belkin, Cisco, Linksys, D-Link en Siemens.
In Duitsland zijn vooral apparaten van AVM en Telekom wijdverspreid en gelukkig gaven beide het all-clear aan het online magazine Golem. In een nieuwsbericht van 30.01.2013 is te lezen dat zowel de Speedport-routers als de modellen van AVM niet eens reageren op UPnP-aanvallen van buitenaf en AVM maakt zelfs geen gebruik van de getroffen bibliotheek. Bovendien is de firewall in de AVM apparaten al zo geconfigureerd en geïmplementeerd dat UPnP van buitenaf niet toegankelijk is.
Naast vele soorten routers worden ook andere UPnP-apparaten zoals smart-tv’s getroffen als zij de defecte bibliotheek gebruiken.
Cert raadt daarom aan de UPnP-functie op de router volledig uit te schakelen. Dit levert dan echter een probleem op voor bepaalde toepassingsgebieden, zoals spelconsoles. Voor voicechat in het Playstation Network moet de gebruiker dan handmatig poorten vrijgeven en omleiden naar de console.
Universal Plug and Play wordt gebruikt in thuisnetwerken en maakt het mogelijk dat apparaten poorten op de router openen voor bijvoorbeeld hun doeleinden. Naast spelconsoles en NAS-systemen maken ook andere UPnP media-apparaten en zelfs Windows zelf hiervan gebruik. Meer informatie over UPnP op Wikipedia https://de.wikipedia.org/wiki/Upnp