I slutten av januar ble det kjent at en mengde integrerte enheter med nettverksstøtte, blant annet mange nettverksrutere, tilbyr støtte for Universal Plug and Plug (UpNP) ved hjelp av åpen kildekodebaserte programvarebiblioteker som inneholder alvorlige sårbarheter. Ifølge sikkerhetsselskapet Rapid7 kan sårbarhetene utnyttes av ondsinnede i angrep som kan føre til at enhetene krasjer, lekker sensitive data eller kan utnyttes til å kjøre vilkårlig kode. En forutsetning for dette er at enheten er direkte tilgjengelig fra Internett og at den tilbyr UPnP-baserte tjenester ikke bare til lokalnettet, men også til hele Internett.
Rett før helgen kom UPnP Forum, organisasjonen som står bak UPnP-spesifikasjonene, med en kunngjøring om problemet. Der går klart fram at sårbarhetene skyldes feil i den implementering av UPnP som er gjort i biblioteker som libupnp og MiniUPnP, ikke feil i UPnP-spesifikasjonene.
– Dessuten viser feilene som er beskrevet av Rapid7 en implementering som svarer på UPnP-protokoller over WAN-portene til rutere, noe eksisterende UPnP-standarder ikke er designet for. Eksisterende UPnP-protokoller er kun ment for LAN-bruk (lokalnett, red. anm.) som ikke videresendes til Internett, heter det i kunngjøringen fra UPnP Forum.
De aktuelle sårbarhetene finnes i libupnp eldre enn 1.6.18 og MiniUPNP eldre enn 1.4. Men også MiniUPNP 1.4 skal inneholde sårbarheter. Disse har foreløpig ikke blitt offentliggjort, men UPnP Forum anbefaler forsiktighet ved bruk av dette biblioteket, inntil feilene har blitt rettet. Organisasjonen oppfordrer utstyrsleverandører til å bruke den til enhver tid nyeste programvaren. Det oppfordres også til å støtte versjon 2 av protokollen Internet Gateway Device, som skal være sikrere enn versjon 1, som nesten alle fortsatt bruker.
Brukerne av de berørte enhetene har i verste fall intet annet valg enn å skru av UPnP-støtten. De kan ikke uten videre installere de oppdaterte bibliotekene på egenhånd. I stedet er de avhengige av at leverandøren av maskinvaren tilbyr en oppdatering til enhetens programvare. I praksis betyr dette ofte at brukerne selv må følge med på når leverandøren kommer med program- eller fastvareoppdateringer, for deretter laste ned og installere dette relativt manuelt.
Rapid7 har gitt ut et verktøy som kan finne enheter som har en sårbar UPnP-løsning. Også UPnP Forum planlegger å gi ut noe tilsvarende.
Les også:
- [16.02.2013] Facebook angrepet
- [29.01.2013] Advarer mot massivt nettverksproblem