Falha grave em protocolo permite ataque a milhares de dispositivos em rede - Asplan Sistemas

Falha grave em protocolo permite ataque a milhares de dispositivos em rede

Vulnerabilidades em bibliotecas Universal Plug and Play usadas em milhares de produtos permite ataques de execução de código remoto e DDoS

Milhares de dispositivos habilitados para rede, incluindo roteadores,
impressoras, servidores de mídia, câmeras IP, SmartTVs, entre outros,
podem ser atacados por meio da Internet por conta de uma falha grave que
envolve a implementação do protocolo padrão UPnP (Universal Plug and
Play), disseram pesquisadores da empresa de segurança Rapid7, na
terça-feira (29/1) em uma pesquisa.

O UPnP permite que dispositivos em rede descubram uns aos outros e
automaticamente estabeleçam configurações de trabalho que habilitam o
compartilhamento de dados, streaming de mídia, controle de reprodução de
mídia e outros serviços.

Um cenário comum é uma aplicação de compartilhamento de arquivos,
sendo executada em um computador, dizer ao roteador via UPnP para abrir
uma porta específica e mapeá-la para o endereço de rede local do
computador, com o objetivo de abrir seu serviço de compartilhamento de
arquivos para usuários de Internet.

O UPnP é utilizado principalmente dentro de redes locais. No entanto,
os pesquisadores em segurança da Rapid7 encontraram mais de 80 milhões
de endereços de IPs (Internet Protocol) públicos únicos que responderam a
solicitações de descoberta de UPnP por meio da Internet durante as
verificações realizadas no ano passado, entre os meses de junho e
novembro.

Além disso, eles identificaram que 20%, ou 17 milhões, desses
endereços de IP correspondiam a dispositivos que expunham o Protocolo
Simples de Acesso a Objeto (SOAP ou Simple Object Access Protocol) para a
Internet. Esse serviço pode permitir a crackers atacar sistemas por
trás do firewall e expor informações sigilosas sobre eles, disseram os
pesquisadores.

Com base nas respostas para a solicitação de descoberta de UPnP, os
pequisadores puderam registrar os dispositivos únicos e descobrir qual
biblioteca UPnP eles utilizavam. Foi identificado que mais de um quarto
dos dispositivos tinham o UPnP implementado por meio de uma biblioteca
chamada Portable UPnP SDK.

Oito vulnerabilidades que podem ser exploradas remotamente foram
encontradas nessa SDK, incluindo uma que pode ser utilizada para a
execução de código remoto, disseram os pesquisadores.

“As vulnerabilidades que identificamos no Portable UPnP SDK foram
corrigidas na versão 1.6.18 (liberada hoje), mas levará bastante tempo
até que cada fornecedor de dispositivos e aplicação incorpore esse patch
em seus produtos”, escreveu o chefe de segurança da Rapid7, HD Moore,
na terça-feira, no blog da empresa.

Mais de 23 milhões de endereços de IP daqueles identificados durante a
verificação correspondem a dispositivos que podem ser comprometidos
pelas vulnerabilidades por meio do envio de um único pacote UDP
personalizado especificamente para eles, de acordo com Moore.

Falhas adicionais, incluindo aquelas que podem ser utilizadas em
ataques de negação de serviço (DDoS) e execução de código remoto, também
existem em uma biblioteca chamada de MiniUPnP. Mesmo que elas tenham
sido corrigidas nas versões liberadas em 2008 e 2009, 14% dos
dispositivos com UPnP expostas utilizavam a versão do MiniUPnP 1.0
(exatamente a vulnerável), disseram os pesquisadores.

Outros problemas foram identificados na última versão da MiniUPnP
(1.4), mas eles não serão publicamente divulgados até que os
desenvolvedores das bibliotecas liberem uma correção.

“Dito isso, fomos capazes de identificar mais de 6900 versões de
produtos que estão vulneráveis por conta do UPnP”, disse Moore. “Essa
lista engloba mais de 1500 fornecedores e leva em conta apenas
dispositivos que expõem o serviço SOAP da UPnP à Internet – o que é uma
vulnerabilidade grave por si só.”

A Rapid7 publicou três listas separadas de produtos vulneráveis, que possuem falhas do Portable UPnP SDK, MiniUPnP e dispositivos que expõem o SOAP à Internet.

A Belkin, Cisco, Netgear, D-Link e Asus, todas com dispositivos
vulneráveis segundo a lista, não comentaram imediatamente sobre o caso.

Atualizações de segurança

Moore acredita que, na maioria dos casos, os dispositivos em rede que
não são mais vendidos não serão atualizados e permanecerão vulneráveis a
ataques remotos indefinidamente, a menos que seus donos desabilitem
manualmente a funcionalidade UPnP ou a substitua.

“Essas descobertas provam que muitos fornecedores ainda não
aprenderam o básico em projetar dispositivos que padronizam uma
configuração segura e robusta”, disse o chefe do departamento de
segurança da Secunia, Thomas Kristensen. “Dispositivos que são
destinados a conexão direta com a Internet não devem executar quaisquer
serviços em suas interfaces públicas por padrão, principalmente serviços
como UPnP que são destinados exclusivamente para redes de confiança.”

Kristensen acredita que muitos dos dispositivos vulneráveis
provavelmente permanecerão sem correção até que sejam substituídos,
mesmo que suas fabricantes liberem atualizações de firmware.

Muitos usuários de computadores sequer atualizam os softwares que são
frequentemente utilizados e com os quais estão familiarizados, disse
ele, acrescentando que a tarefa de encontrar uma interface web de um
dispositivo em rede vulnerável, obter a atualização para o firmware e
passar por todo o processo de update provavelmente é muito intimidante
para muitos usuários.

A pesquisa feita pela Rapid7 inclui recomendações de segurança para
provedores de serviços de Internet, empresas e usuários domésticos.

Provedores de Internet (ISP) foram aconselhados a forçar atualizações
para as configurações ou firmware para dispositivos de assinantes, a
fim de desabilitar os recursos UPnP ou substituir os dispositivos por
outros configurados de forma segura, que não expõem o UPnP à Internet.

“Usuários domésticos e de dispositivos móveis devem garantir que a
função UPnP dos seus roteadores e dispositivos de banda larga móvel
esteja desabilitada”, disseram os pesquisadores.

Além de garantir que nenhum dispositivo exponha a UPnP à Internet, as
empresas foram aconselhadas a realizar uma revisão cuidadosa sobre o
potencial impacto de segurança para todos os dispositivos compatíveis
com UPnP encontrados em suas redes – impressoras de rede, câmeras IP,
sistemas de armazenamento, etc – e considerar segmentá-los da rede
interna até que uma atualização de firmware esteja disponível pelo
fabricante.

A Rapid7 lançou uma ferramenta gratuita chamada ScanNow para Universal Plug and Play,
bem como um módulo para o teste de penetração Metasploit Framework, que
pode ser usado para detectar ​​serviços UPnP vulneráveis que estejam
rodando dentro de uma rede.

Fonte: http://idgnow.uol.com.br/internet/2013/01/29/falha-em-protocolo-upnp-permite-ataque-remoto-a-dispositivos-em-rede/

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *