CallStranger: Große Sicherheitslücke betrifft Millionen UPnP-Geräte

Eine Schwachstelle im UPnP-Standard ermöglicht Netzwerk-Scans und DDoS-Angriffe. Bis alle Hersteller Updates bereitstellen, dürfte es lange dauern.

Artikel veröffentlicht am , Anna Biselli
Auch Xbox-Spielekonsolen sind von Callstranger betroffen.
Auch Xbox-Spielekonsolen sind von Callstranger betroffen. (Bild: Yasin Hasan/unsplash.com)

Eine Sicherheitslücke im Universal-Plug-and-Play-Standard (UPnP) betrifft unzählige Geräte. Die Schwachstelle mit der Nummer CVE-2020-12695 trägt den Namen Callstranger und wurde von dem IT-Sicherheitsforscher Yunus Çadirci veröffentlicht. ZDNet berichtete über den Bug.

Stellenmarkt
  1. Software Engineer - Radar Detection (m/f/d)
    Continental AG, Neu-Ulm
  2. Entwicklungsingenieur Software-in-the-Loop Testing (m|w|d)
    Bertrandt Technologie GmbH, Mönsheim
Detailsuche

UPnP wird von Milliarden Smart Devices, Routern, IP-Kameras, Spielekonsolen oder Druckern unterstützt. Derzeit zeigt die Suchmaschine für das Internet der Dinge etwa 5,5 Millionen Geräte an, die im Netz erreichbar sind.

Der Bug kann es Angreifern ermöglichen, Sicherheitsvorkehrungen im Netzwerk zu umgehen und über ein verwundbares Gerät beispielsweise interne Netzwerke zu scannen, die Geräte für DDoS-Angriffe zu nutzen oder sogar Daten auszuleiten. Möglich wird das über die alte Subscribe-Funktion bei UPnP, bei der die URL im Callback-Header nicht überprüft wird und so von Angreifern kontrolliert werden kann.

Çadirci informierte die für den UPnP-Standard zuständige Open Connectivity Foundation im Dezember 2019, woraufhin die UPnP-Spezifikation im April aktualisiert wurde. Da es sich um eine Schwachstelle im Protokoll handelt, könne es jedoch lange dauern, bis alle Hersteller das Problem gepatcht hätten, schreibt Çadirci.

Eigene Sicherheitsvorkehrungen sind notwendig

Golem Karrierewelt
  1. Einführung in das Zero Trust Security Framework (virtueller Ein-Tages-Workshop)
    18.01.2023, virtuell
  2. Automatisierung (RPA) mit Python: virtueller Zwei-Tage-Workshop
    02./03.03.2023, Virtuell
Weitere IT-Trainings

Er hat auf Github ein Skript veröffentlicht, mit dem sich überprüfen lässt, ob sich in den eigenen Netzwerken anfällige Geräte befinden. Solange keine flächendeckenden Patches der Hersteller existieren, sind zusätzliche Sicherheitsvorkehrungen notwendig. Çadirci empfiehlt, alle unnötigen UPnP-Ports zu schließen, die aus dem Internet erreichbar sind. Außerdem sollten UPnP-Subscribe-Pakete und Notify-Http-Pakete bei sicherheitskritischen Geräten blockiert werden.

"Obwohl aus dem Internet zugängliche UPnP-Dienste allgemein als Fehlkonfiguration anzusehen sind, offenbart ein kürzlich durchgeführter Shodan-Scan noch immer eine Reihe von Geräten, die über das Internet erreichbar sind", schreibt das CERT Coordination Center der Carnegie Mellon University. Callstranger ist nicht die erste UPnP-Schwachstelle, die viele Geräte betrifft. Im Jahr 2013 fand sich ein Fehler in der Bibliothek libupnp, die Remote Code Execution ermöglichte und besonders bei Routern kritisch war. Noch Jahre später wurden ungepatchte Geräte für ein Botnetz genutzt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Netztest
Telekom hat laut Connect das fast perfekte Mobilfunknetz

Bei der Reichweite der Breitbandversorgung überholt Telefónica den Konkurrenten Vodafone. Die Telekom erhält 952 von maximal 1.000 Punkten.

Netztest: Telekom hat laut Connect das fast perfekte Mobilfunknetz
Artikel
  1. 400.000 Ladepunkte: Audi startet Ladesäulen-Tarif mit bis zu 0,81 Euro pro kWh
    400.000 Ladepunkte
    Audi startet Ladesäulen-Tarif mit bis zu 0,81 Euro pro kWh

    Am 1. Januar 2023 will Audi seinen Ladedienst Audi Charging starten. Bis zu 0,81 Euro pro kWh werden verlangt.

  2. Netzwerkprotokoll: Was Admins und Entwickler über IPv6 wissen müssen
    Netzwerkprotokoll
    Was Admins und Entwickler über IPv6 wissen müssen

    Sogar für IT-Profis scheint das Netzwerkprotokoll IPv6 oft ein Buch mit sieben Siegeln - und stößt bei ihnen nicht auf bedingungslose Liebe. Wir überprüfen die Vorbehalte in der Praxis und geben Tipps.
    Von Jochen Demmer

  3. Wo Long Fallen Dynasty Vorschau: Souls-like mit Schwertkampf in China
    Wo Long Fallen Dynasty Vorschau
    Souls-like mit Schwertkampf in China

    Das nächste Souls-like heißt Wo Long: Fallen Dynasty und stammt von Team Ninja. Golem.de hat beim Anspielen mehr Gegner erledigt als erwartet.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Monday bei Media Markt & Saturn • Nur noch heute: Black Friday Woche bei Amazon & NBB • MindStar: Intel Core i7 12700K 359€ • Gigabyte RX 6900 XT 799€ • Xbox Series S 222€ • Gamesplanet Winter Sale - neue Angebote • WD_BLACK SN850 1TB 129€ [Werbung]
    •  /