• IT-Karriere:
  • Services:

CallStranger: Große Sicherheitslücke betrifft Millionen UPnP-Geräte

Eine Schwachstelle im UPnP-Standard ermöglicht Netzwerk-Scans und DDoS-Angriffe. Bis alle Hersteller Updates bereitstellen, dürfte es lange dauern.

Artikel veröffentlicht am , Anna Biselli
Auch Xbox-Spielekonsolen sind von Callstranger betroffen.
Auch Xbox-Spielekonsolen sind von Callstranger betroffen. (Bild: Yasin Hasan/unsplash.com)

Eine Sicherheitslücke im Universal-Plug-and-Play-Standard (UPnP) betrifft unzählige Geräte. Die Schwachstelle mit der Nummer CVE-2020-12695 trägt den Namen Callstranger und wurde von dem IT-Sicherheitsforscher Yunus Çadirci veröffentlicht. ZDNet berichtete über den Bug.

Stellenmarkt
  1. ESCHA GmbH & Co. KG, Halver
  2. Universitätsklinikum Augsburg, Augsburg

UPnP wird von Milliarden Smart Devices, Routern, IP-Kameras, Spielekonsolen oder Druckern unterstützt. Derzeit zeigt die Suchmaschine für das Internet der Dinge etwa 5,5 Millionen Geräte an, die im Netz erreichbar sind.

Der Bug kann es Angreifern ermöglichen, Sicherheitsvorkehrungen im Netzwerk zu umgehen und über ein verwundbares Gerät beispielsweise interne Netzwerke zu scannen, die Geräte für DDoS-Angriffe zu nutzen oder sogar Daten auszuleiten. Möglich wird das über die alte Subscribe-Funktion bei UPnP, bei der die URL im Callback-Header nicht überprüft wird und so von Angreifern kontrolliert werden kann.

Çadirci informierte die für den UPnP-Standard zuständige Open Connectivity Foundation im Dezember 2019, woraufhin die UPnP-Spezifikation im April aktualisiert wurde. Da es sich um eine Schwachstelle im Protokoll handelt, könne es jedoch lange dauern, bis alle Hersteller das Problem gepatcht hätten, schreibt Çadirci.

Eigene Sicherheitsvorkehrungen sind notwendig

Er hat auf Github ein Skript veröffentlicht, mit dem sich überprüfen lässt, ob sich in den eigenen Netzwerken anfällige Geräte befinden. Solange keine flächendeckenden Patches der Hersteller existieren, sind zusätzliche Sicherheitsvorkehrungen notwendig. Çadirci empfiehlt, alle unnötigen UPnP-Ports zu schließen, die aus dem Internet erreichbar sind. Außerdem sollten UPnP-Subscribe-Pakete und Notify-Http-Pakete bei sicherheitskritischen Geräten blockiert werden.

"Obwohl aus dem Internet zugängliche UPnP-Dienste allgemein als Fehlkonfiguration anzusehen sind, offenbart ein kürzlich durchgeführter Shodan-Scan noch immer eine Reihe von Geräten, die über das Internet erreichbar sind", schreibt das CERT Coordination Center der Carnegie Mellon University. Callstranger ist nicht die erste UPnP-Schwachstelle, die viele Geräte betrifft. Im Jahr 2013 fand sich ein Fehler in der Bibliothek libupnp, die Remote Code Execution ermöglichte und besonders bei Routern kritisch war. Noch Jahre später wurden ungepatchte Geräte für ein Botnetz genutzt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote

JouMxyzptlk 09. Jun 2020 / Themenstart

Es geht nur bedingt darum das KnowHow zu haben, sondern dass die Geräte alle ungefragt...

M.P. 09. Jun 2020 / Themenstart

Ich wäre langsam für eine Umbenennung

Kommentieren


Folgen Sie uns
       


Baldurs Gate 3 - Spieleszenen

Endlich: Es geht weiter! In Baldur's Gate 3 sind Spieler erneut im Rollenspieluniversum von Dungeons & Dragons unterwegs, um gemeinsam mit Begleitern spannende Abenteuer in einer wunderschönen Fantasywelt zu erleben.

Baldurs Gate 3 - Spieleszenen Video aufrufen
Kotlin, Docker, Kubernetes: Weitere Online-Workshops für ITler
Kotlin, Docker, Kubernetes
Weitere Online-Workshops für ITler

Wer sich praktisch weiterbilden will, sollte erneut einen Blick auf das Angebot der Golem Akademie werfen. Online-Workshops zu den Themen Kotlin und Docker sind hinzugekommen, Kubernetes und Python werden wiederholt.

  1. React, Data Science, Agilität Neue Workshops der Golem Akademie online
  2. In eigener Sache Golem Akademie hilft beim Einstieg in Kubernetes
  3. Golem Akademie Data Science mit Python für Entwickler und Analysten

PC-Hardware: Das kann DDR5-Arbeitsspeicher
PC-Hardware
Das kann DDR5-Arbeitsspeicher

Vierfache Kapazität, doppelte Geschwindigkeit: Ein Überblick zum DDR5-Speicher für Server und Desktop-PCs.
Ein Bericht von Marc Sauter


    Complex Event Processing: Informationen fast in Echtzeit auswerten
    Complex Event Processing
    Informationen fast in Echtzeit auswerten

    Ob autonomes Fahren, Aktienhandel oder Onlineshopping: Soll das Ergebnis gut sein, müssen Informationen quasi in Echtzeit ausgewertet werden. Eine gute Lösung dafür: CEP.
    Von Boris Mayer

    1. Musik Software generiert Nirvana-Songtexte
    2. mmap Codeanalyse mit sechs Zeilen Bash
    3. Digitale Kultur Demoszene wird finnisches Kulturerbe

      •  /