Milhares de dispositivos habilitados para rede, incluindo roteadores, impressoras, servidores de mídia, câmeras IP, SmartTVs, entre outros, podem ser atacados por meio da Internet por conta de uma falha grave que envolve a implementação do protocolo padrão UPnP (Universal Plug and Play), disseram pesquisadores da empresa de segurança Rapid7, na terça-feira (29/1) em uma pesquisa.
O UPnP permite que dispositivos em rede descubram uns aos outros e automaticamente estabeleçam configurações de trabalho que habilitam o compartilhamento de dados, streaming de mídia, controle de reprodução de mídia e outros serviços.
Um cenário comum é uma aplicação de compartilhamento de arquivos, sendo executada em um computador, dizer ao roteador via UPnP para abrir uma porta específica e mapeá-la para o endereço de rede local do computador, com o objetivo de abrir seu serviço de compartilhamento de arquivos para usuários de Internet.
O UPnP é utilizado principalmente dentro de redes locais. No entanto, os pesquisadores em segurança da Rapid7 encontraram mais de 80 milhões de endereços de IPs (Internet Protocol) públicos únicos que responderam a solicitações de descoberta de UPnP por meio da Internet durante as verificações realizadas no ano passado, entre os meses de junho e novembro.
Além disso, eles identificaram que 20%, ou 17 milhões, desses endereços de IP correspondiam a dispositivos que expunham o Protocolo Simples de Acesso a Objeto (SOAP ou Simple Object Access Protocol) para a Internet. Esse serviço pode permitir a crackers atacar sistemas por trás do firewall e expor informações sigilosas sobre eles, disseram os pesquisadores.
Com base nas respostas para a solicitação de descoberta de UPnP, os pequisadores puderam registrar os dispositivos únicos e descobrir qual biblioteca UPnP eles utilizavam. Foi identificado que mais de um quarto dos dispositivos tinham o UPnP implementado por meio de uma biblioteca chamada Portable UPnP SDK.
Oito vulnerabilidades que podem ser exploradas remotamente foram encontradas nessa SDK, incluindo uma que pode ser utilizada para a execução de código remoto, disseram os pesquisadores.
“As vulnerabilidades que identificamos no Portable UPnP SDK foram corrigidas na versão 1.6.18 (liberada hoje), mas levará bastante tempo até que cada fornecedor de dispositivos e aplicação incorpore esse patch em seus produtos”, escreveu o chefe de segurança da Rapid7, HD Moore, na terça-feira, no blog da empresa.
Mais de 23 milhões de endereços de IP daqueles identificados durante a verificação correspondem a dispositivos que podem ser comprometidos pelas vulnerabilidades por meio do envio de um único pacote UDP personalizado especificamente para eles, de acordo com Moore.
Falhas adicionais, incluindo aquelas que podem ser utilizadas em ataques de negação de serviço (DDoS) e execução de código remoto, também existem em uma biblioteca chamada de MiniUPnP. Mesmo que elas tenham sido corrigidas nas versões liberadas em 2008 e 2009, 14% dos dispositivos com UPnP expostas utilizavam a versão do MiniUPnP 1.0 (exatamente a vulnerável), disseram os pesquisadores.
Outros problemas foram identificados na última versão da MiniUPnP (1.4), mas eles não serão publicamente divulgados até que os desenvolvedores das bibliotecas liberem uma correção.
“Dito isso, fomos capazes de identificar mais de 6900 versões de produtos que estão vulneráveis por conta do UPnP”, disse Moore. “Essa lista engloba mais de 1500 fornecedores e leva em conta apenas dispositivos que expõem o serviço SOAP da UPnP à Internet – o que é uma vulnerabilidade grave por si só.”
A Rapid7 publicou três listas separadas de produtos vulneráveis, que possuem falhas do Portable UPnP SDK, MiniUPnP e dispositivos que expõem o SOAP à Internet.
A Belkin, Cisco, Netgear, D-Link e Asus, todas com dispositivos vulneráveis segundo a lista, não comentaram imediatamente sobre o caso.
Atualizações de segurança
Moore acredita que, na maioria dos casos, os dispositivos em rede que não são mais vendidos não serão atualizados e permanecerão vulneráveis a ataques remotos indefinidamente, a menos que seus donos desabilitem manualmente a funcionalidade UPnP ou a substitua.
“Essas descobertas provam que muitos fornecedores ainda não aprenderam o básico em projetar dispositivos que padronizam uma configuração segura e robusta”, disse o chefe do departamento de segurança da Secunia, Thomas Kristensen. “Dispositivos que são destinados a conexão direta com a Internet não devem executar quaisquer serviços em suas interfaces públicas por padrão, principalmente serviços como UPnP que são destinados exclusivamente para redes de ‘confiança’.”
Kristensen acredita que muitos dos dispositivos vulneráveis provavelmente permanecerão sem correção até que sejam substituídos, mesmo que suas fabricantes liberem atualizações de firmware.
Muitos usuários de computadores sequer atualizam os softwares que são frequentemente utilizados e com os quais estão familiarizados, disse ele, acrescentando que a tarefa de encontrar uma interface web de um dispositivo em rede vulnerável, obter a atualização para o firmware e passar por todo o processo de update provavelmente é muito intimidante para muitos usuários.
A pesquisa feita pela Rapid7 inclui recomendações de segurança para provedores de serviços de Internet, empresas e usuários domésticos.
Provedores de Internet (ISP) foram aconselhados a forçar atualizações para as configurações ou firmware para dispositivos de assinantes, a fim de desabilitar os recursos UPnP ou substituir os dispositivos por outros configurados de forma segura, que não expõem o UPnP à Internet.
“Usuários domésticos e de dispositivos móveis devem garantir que a função UPnP dos seus roteadores e dispositivos de banda larga móvel esteja desabilitada”, disseram os pesquisadores.
Além de garantir que nenhum dispositivo exponha a UPnP à Internet, as empresas foram aconselhadas a realizar uma revisão cuidadosa sobre o potencial impacto de segurança para todos os dispositivos compatíveis com UPnP encontrados em suas redes – impressoras de rede, câmeras IP, sistemas de armazenamento, etc – e considerar segmentá-los da rede interna até que uma atualização de firmware esteja disponível pelo fabricante.
A Rapid7 lançou uma ferramenta gratuita chamada ScanNow para Universal Plug and Play, bem como um módulo para o teste de penetração Metasploit Framework, que pode ser usado para detectar serviços UPnP vulneráveis que estejam rodando dentro de uma rede.
