De fleste bredbåndsrutere og trådløse rutere som er beregnet for privatmarkedet, har støtte for en teknologi som heter Universal Plug and Play (UPnP). Denne teknologien, som også støttes av mange andre enheter og en hel del programvare, skal gjøre det enklere å knytte sammen enheter via et nettverk.
UPnP støttes av rutere for å gjøre det enklere for brukerne å få tjenester og programvare til å fungere. For eksempel kan programvare med støtte for UPnP be en ruter med støtte for UPnP åpne og videresende visse porter slik at programvaren kan fungere. Alternativet er at brukeren på egen hånd må åpne disse portene i ruteren og brannmuren.
Problemet er det at UPnP ikke har noen autentiseringsmekanisme. Teknologien forutsetter at alle lokale systemer og brukere er fullt og helt til å stole på. Dette betyr blant annet at UPnP på ingen måte tar hensyn til om det er brukerens ønske at porter skal åpnes, eller om det er en trojaner eller orm som ber om dette.
Dette gjør det i praksis mulig for ondsinnet programvare å be ruteren åpne porter som videresendes til det infiserte systemet, for opp og nedlasting av data.
GNUCitizen, som er en etisk hackergruppe, publiserte sist helg informasjon om en metode som gjør det enkelt å utnytte UPnP i rutere og andre enheter. Alt som skal til, er å lokke nettleserbrukere til å besøke en webside med et spesielt utformet Flash-applikasjon. Brukeren vil ikke merke noe til angrepet, i hvert fall på dette stadiet. Flash-applikasjonen avhenger ikke av noen spesiell nettleser eller operativsystem.
Så snart Flash-applikasjonen er kjørt, har angriperen en rekke muligheter. Ifølge GNUCitizen inkluderer dette å gjøre endringer å endringer i brannmuroppsettet, gjøre webadministrasjonen av ruteren tilgjengelig via Internett eller å endre oppsettet for innlogging, WLAN, IP-adresser og mye annet på ruteren.
Dessuten kan DNS-oppsettet endres, slik at brukeren blir ledet til andre sider enn det brukeren ønsker. Dette kan utnyttes til å stjele for eksempel nettbankinformasjon fra brukeren, til å hindre sikkerhetsløsninger i å laste ned oppdateringer, eller å tilby modifiserte oppdateringer til Firefox-utvidelser som i sin tur sørger for å laste ned mer ondsinnet programvare.
Mulighetene er mange.
GNUCitizen oppgir at UPnP er aktivert som standard i nesten alle hjemmerutere. Dette skyldes nettopp det at det skal være enkelt for brukere å få enkelte typer programvare, blant annet fildelingsprogrammer og videotelefoniløsninger fra Microsoft og Skype, til å fungere uten at brukeren må konfigurere ruteren selv.
Med de mulighetene som nå er ute til å utnytte UPnP, råder GNUCitizen alle til snarest å skru av UPnP på ruteren, uansett om dette resulterer i at programvare slutter å virke eller ikke.
Problemet med sårbarheten er at den ikke skyldes noen enkelt feil, verken i Flash, nettlesere eller ruterne. Disse er laget slik de er ment å gjøre. Problemet skyldes mangler i UPnP-spesifikasjonen og kan ikke rettes ved hjelp av en enkelt sikkerhetsfiks.
GNUCitizen mener at det på sikt heller ikke vil være nok å deaktivere Flash i nettleserne, siden man antar at lignende teknikker som den som er blitt brukt, også vil kunne gjøres ved hjelp av andre webteknologier.
GNUCitizen har publisert en FAQ om problemet på denne siden.