Homeland Security advarer mot UPnP

Homeland Security advarer mot UPnP

Anbefaler deaktivering a sentral ruterfunksjon.

I USA har Department of Homeland Security gått ut med en generell oppfordring til å deaktivere Universal Plug and Play (UPnP). Oppfordringer kommer i kjølvannet av at sikkerhetsgruppen Rapid7 har publisert en rapport som estimerer at mellom 40 og 50 millioner enheter på verdensbasis er berørt av problemer knyttet til UPnP.

Rapid7 står blant annet bak Metasploit - en av de mest annerkjente verktøyene for sikkerhetsanalyse og penetrasjonstesting.

Det er sjeldent at departementet har gått ut med it-sikkerhetsanbefalinger der funksjoner skal deaktiveres. De gikk imidlertid tidligere ut med anbefalinger om deaktivering av Java fram til problemene var blitt rettet og man fikk oppdatert.

UPnP-teknologien benyttes både innad i lokalnettverk og for enheter som skal ha forbindelse til internett. Innad på et lokalnettverk kan UPnP benyttes for at enheter skal bli synelige for hverandre - for eksempel en mediespiller eller smart-tv som blir synlig i Windows eller på en mobiltelefon som en avspillingsenhet.

Mot internett kan UPnP benyttes for å konfigurere åpne porter og til hvilken enhet på lokalnettverket trafikk på disse portene skal rutes.

På mange rutere kan UPnP lett deaktiveres. Her er det imidlertid som regel ikke et skille mellom UPnP internt på nettverket og mot internett.

LES OGSÅ:

Orm angriper Linksys-rutere

Alt tilgjengelig

Som vi tidligere har sett flere eksempler på, kan UPnP forårsake at enheter og tjenester eksponeres mot internett uten at brukeren er klar over det. I kombinasjon med dårlige sikkerhetsimplementasjoner fra produsentene av enheter og tjenester, samt feilkonfigurasjon gjort av brukere, kan for eksempel delte kataloger og fildelingstjenester på pc-er og NAS/filservere bli eksponert mot nettet.

Det kan også forårsake at overvåkningskameraer som er ment å bli brukt internt eksponeres, samt også enheter som skrivere har i dag tjenester som kan aksesseres via for eksempel et webgrensesnitt.

De sikkerhetsmessige problemene knyttet til UPnP har vært kjent i flere år. Tidligere har man også sett malware og annen skadevare som har utnyttet UPnP - for eksempel for pc-er blir en del av et botnet og man ønsker at trafikk/kommandoer knyttet til dette skal kunne initieres via internett.

Bakgrunnen for at man fortsatt har valgt å benytte løsningen er knyttet til brukervennlighet. Den automatiske konfigurasjonen UPnP kan gjøre på enheter gjør at mange enheter og tjenester for sluttbrukere blir langt enklere å sette opp. I praksis kan det bety mye for hvordan et produkt oppleves i bruk av brukerne, hvordan presse evaluerer produktet og hvor mye mindre belastning det blir for brukerstøtten hos leverandørene.

LES OGSÅ:

Er NAS-en din trygg?

Det har lenge vært verktøy tilgjengelig for å finne enheter på internett som er eksponert. Problemene har imidlertid blitt mer synliggjort i senere tid gjennom tjenester som ShodanHQ, hvor "hvem som helst" kan søke opp enheter med sårbarheter. For eksempel NAS-enheter hvor man vet det ofte er eksponerte tjenester, som blant annet tilgang til filer via ftp, webgrensesnitt eller smb.

Den naturlige komplikasjonen med å deaktivere UPnP vil være at en del enheter/tjenester ikke vil fungere slik de i utgangspunktet gjorde. Det kan være behov for å sette opp manuelle innstillinger på ruteren og i programmer som benyttes både eksternt og innad på lokalnettverket.

LES OGSÅ:

Sjekk Asus-ruteren din nå!

Forskjellige implementasjoner

Det finnes forskjellige UPnP-implementasjoner og det vil være variasjoner i henhold til sikkerheten. Problemet med for eksempel enheter som begynner å bli noen år gamle, er at produsentene ikke kommer med oppdateringer lengre. Og man ser også at selv helt nye produkter kan ha usikre UPnP-implementasjoner. Det er også tilfeller der bredbåndsrutere har tatt i mot UPnP-kommandoer via internett.

Det er imidlertid svært vanskelig å direkte si hvilke produkter som har en dårlig UPnP-implementasjon - eller bare en implementasjon som ikke er fult så dårlig. Det ligger sikkerhetsutfordringer i teknologiens natur.

En del av problematikken rundt manglende kontroll for enheter og tjenester som utnytter UPnP er manglende autorisasjon for nye UPnP-oppsett. UPnP har etter Rapid7-rapporten gått ut med en pressemelding hvor de oppfordrer produsenter til å påse at de bruker sikrere versjoner av UPnP og Internet Gateway Device-protokollen . UPnP Forum har offisielle UPnP-implementasjoner i tillegg til at det finnes tredjeparts open-source-implementasjoner. Ut i fra det vi kan forstå er det tredjepartsimplementasjonene hvor man nå mener det er størst problemer og disse er ofte bruk i mange enheter for å holde kostnadene nede. I en del tilfeller gjelder problemene eldre versjoner av disse tredjepartsimplementasjonene, men et stort antall enheter fortsetter å kjøre med disse implementasjonene siden produsentene ikke lengre kommer med oppdateringer til sine produkter.

Vi har i tidligere artikler anbefalt at UPnP deaktiveres. Vi anbefaler her at man leser vår guide for for sikrere hjemmenettverk.

LES OGSÅ:

NAS-er utvinner Bitcoins