Une nouvelle vulnérabilité critique a été détectée. Celle-ci s’immisce dans le protocole UPnP (Universal Plug and Play) affectant directement la majorité des appareils de l’Internet des objets (IoT).
Risques
- Exécution de code à distance
- Exfiltration de données
- Participation involontaire à une attaque de type DDoS
Systèmes affectés
Liste en cours de mise à jour des systèmes dont la vulnérabilité est confirmée :
- Windows 10 – upnphost.dll 10.0.18362.719
- Xbox One – OS Version 10.0.19041.2494
- ADB TNR-5720SX Box (TNR-5720SX/v16.4-rc-371-gf5e2289 UPnP/1.0 BH-upnpdev/2.0)
- ASUS Media Streamer
- ASUS Rt-N11
- Belkin WeMo
- Broadcom ADSL Modems
- Canon SELPHY CP1200 Printer
- Cisco X1000 – (LINUX/2.4 UPnP/1.0 BRCM400/1.0)
- Cisco X3500 – (LINUX/2.4 UPnP/1.0 BRCM400/1.0)
- D-Link DVG-N5412SP WPS Router (OS 1.0 UPnP/1.0 Realtek/V1.3)
- Epson EP, EW, XP Series (EPSON_Linux UPnP/1.0 Epson UPnP SDK/1.0)
- HP Deskjet, Photosmart, Officejet ENVY Series (POSIX, UPnP/1.0, Intel MicroStack/1.0.1347)
- Huawei HG255s Router – Firmware HG255sC163B03 (ATP UPnP Core)
- NEC Access Technica WR8165N Router (OS 1.0 UPnP/1.0 Realtek/V1.3)
- Philips 2k14MTK TV – Firmware TPL161E_012.003.039.001
- Samsung UE55MU7000 TV – Firmware T-KTMDEUC-1280.5, BT – S
- Samsung MU8000 TV
- TP-Link TL-WA801ND (Linux/2.6.36, UPnP/1.0, Portable SDK for UPnP devices/1.6.19)
- TRENDnet TV-IP551W (OS 1.0 UPnP/1.0 Realtek/V1.3)
- Zyxel VMG8324-B10A (LINUX/2.6 UPnP/1.0 BRCM400-UPnP/1.0)
Résumé
Une vulnérabilité nommée CallStranger et portant le numéro de CVE-2020-12695 a été découverte et reportée de manière privée fin 2019 à l’Open Connectivity Foundation (#OCF) par le chercheur en sécurité informatique Yunus Çadırcı [1].
De nombreux équipements sont vulnérables, en raison de leur raccordement direct à Internet ou de leur mise en œuvre dans des DMZ et/ou via des mécanismes de redirection de ports (#PAT) les exposant à Internet.
Une forte probabilité existe quant à l’exploitation de ces équipements exposés afin de mettre en place des attaques de déni de service distribué #DDoS.
De plus, cette vulnérabilité peut permettre :
- de découvrir les services réseau d’un réseau local (via un scan de ports s’affranchissant des protections réseaux périmétriques)
- d’exfiltrer de la donnée, et ce même si les flux en sortie du réseau local sont filtrés par des équipements (comme des serveurs mandataires ou des dispositifs de protection d’informations sensibles #DLP).
L’OCF a mis à jour les spécifications du standard le 17 avril 2020 et a prévenu la plupart des vendeurs concernés de la nécessité d’intégrer cette mise à jour sur leurs produits. Cependant, cette vulnérabilité affectant un protocole et une multitude de périphériques, il est très probable que de nombreux équipements resteront longtemps en production sans bénéficier de mise à jour.
TEHTRIS NTA intègre désormais une règle de détection spécifique permettant la détection de l’exploitation de cette vulnérabilité au sein de la TEHTRIS XDR Platform.
Un site Internet régulièrement mis à jour et regroupant les informations concernant la vulnérabilité est disponible à l’adresse : https://callstranger.com/
Le chercheur a mis à disposition un rapport détaillé disponible sur GITHUB [2]
[1] https://twitter.com/yunuscadirci
[2] https://github.com/yunuscadirci/CallStranger/blob/master/CallStranger%20-%20Technical%20Report.pdf
Recommandations
TEHTRIS CERT recommande de vérifier si vos équipements directement raccordés à l’Internet ne disposent pas du protocole UPnP actif et si tel est le cas de procéder à sa désactivation.
De manière générale, le principe de défense en profondeur nécessite la désactivation des services inutiles afin de diminuer la surface d’attaque de vos systèmes.
En cas de besoin de conseils ou d’aide à la recherche et à la sécurisation de vos équipements, l’équipe de TEHTRIS se tient à votre disposition aux points de contact indiqués sur notre site Internet https://tehtris.com/fr/contact/