Een ernstige kwetsbaarheid, bekend onder de CVE-2020-12695, is ontdekt in een kernprotocol in bijna alle IoT-apparaten - de Universal Plug and Play (UPnP) protocol.
De fout, genaamd CallStranger kan aanvallers IoT-apparaten laten overnemen bij DDoS-aanvallen. De fout kan worden uitgebuit bij andere soorten aanvallen, waar beveiligingsoplossingen worden omzeild en interne netwerken worden bereikt.
Wat is het UPnP-protocol?
Zoals uitgelegd door de Open Connectivity Foundation (OCF), dit protocol is ontworpen om automatische detectie en interactie met apparaten op een netwerk te bieden. Het protocol kan worden gebruikt in een vertrouwd lokaal netwerk (LAN), en het implementeert geen enkele vorm van authenticatie of verificatie.
Meer over het CallStranger-beveiligingslek (CVE-2020-12695)
Volgens de officieel adviesorgaan, "een kwetsbaarheid in de UPnP SUBSCRIBE-mogelijkheid stelt een aanvaller in staat om grote hoeveelheden gegevens naar willekeurige bestemmingen te verzenden die via internet toegankelijk zijn, wat kan leiden tot een Distributed Denial of Service (DDoS), data-exfiltratie, en ander onverwacht netwerkgedrag".
Verwant: LoRaWAN ivd Protocol kan gemakkelijk worden gehackt volgens nieuw onderzoek
De meeste met internet verbonden apparaten ondersteunen het UPnP-protocol, wat betekent dat een groot aantal apparaten risico loopt. "Hoewel het aanbieden van UPnP-services op internet over het algemeen als een verkeerde configuratie wordt beschouwd, volgens een recente Shodan-scan zijn een aantal apparaten nog steeds via internet beschikbaar,”Merkt het beveiligingsadvies op.
Door het beveiligingslek CVE-2020-12695 in de UPnP SUBSCRIBE-mogelijkheid kan een aanvaller grote hoeveelheden gegevens verzenden naar willekeurige bestemmingen die via internet toegankelijk zijn. Dit kan dan leiden tot DDoS-aanvallen, data-exfiltratie, en andere vormen van onverwacht netwerkgedrag.
Beperkingen tegen CVE-2020-12695
Leveranciers moeten snel de bijgewerkte specificatie van de OCF implementeren. Eigenaars van IoT-apparaten, anderzijds, moeten leveranciersondersteuningskanalen in de gaten houden voor updates die de nieuwe SUBSCRIBE-specificatie implementeren.
Een andere beveiligingsaanbeveling is het uitschakelen van het UPnP-protocol op voor internet toegankelijke interfaces. Apparaatfabrikanten moeten de UPnP SUBSCRIBE-mogelijkheid in hun standaardconfiguratie uitschakelen. Gebruikers wordt geadviseerd om “ABONNEER expliciet met alle toepasselijke netwerkbeperkingen om het gebruik ervan te beperken tot een vertrouwd lokaal netwerk“.