CallStranger: Große Sicherheitslücke betrifft Millionen UPnP-Geräte

Eine Schwachstelle im UPnP-Standard ermöglicht Netzwerk-Scans und DDoS-Angriffe. Bis alle Hersteller Updates bereitstellen, dürfte es lange dauern.

Artikel veröffentlicht am , Anna Biselli
Auch Xbox-Spielekonsolen sind von Callstranger betroffen.
Auch Xbox-Spielekonsolen sind von Callstranger betroffen. (Bild: Yasin Hasan/unsplash.com)

Eine Sicherheitslücke im Universal-Plug-and-Play-Standard (UPnP) betrifft unzählige Geräte. Die Schwachstelle mit der Nummer CVE-2020-12695 trägt den Namen Callstranger und wurde von dem IT-Sicherheitsforscher Yunus Çadirci veröffentlicht. ZDNet berichtete über den Bug.

Stellenmarkt
  1. IT Support and infrastructure specialist (m/w/d)
    Ludwig Frischhut GmbH & Co. KG, Pfarrkirchen
  2. Business Line Director (m/f/d) Industrial IoT
    via eTec Consult GmbH, Raum Malmö/Göteborg (Schweden)
Detailsuche

UPnP wird von Milliarden Smart Devices, Routern, IP-Kameras, Spielekonsolen oder Druckern unterstützt. Derzeit zeigt die Suchmaschine für das Internet der Dinge etwa 5,5 Millionen Geräte an, die im Netz erreichbar sind.

Der Bug kann es Angreifern ermöglichen, Sicherheitsvorkehrungen im Netzwerk zu umgehen und über ein verwundbares Gerät beispielsweise interne Netzwerke zu scannen, die Geräte für DDoS-Angriffe zu nutzen oder sogar Daten auszuleiten. Möglich wird das über die alte Subscribe-Funktion bei UPnP, bei der die URL im Callback-Header nicht überprüft wird und so von Angreifern kontrolliert werden kann.

Çadirci informierte die für den UPnP-Standard zuständige Open Connectivity Foundation im Dezember 2019, woraufhin die UPnP-Spezifikation im April aktualisiert wurde. Da es sich um eine Schwachstelle im Protokoll handelt, könne es jedoch lange dauern, bis alle Hersteller das Problem gepatcht hätten, schreibt Çadirci.

Eigene Sicherheitsvorkehrungen sind notwendig

Golem Akademie
  1. Hands-on C# Programmierung: virtueller Zwei-Tage-Workshop
    4.–5. November 2021, virtuell
  2. Kubernetes Dive-in-Workshop: virtueller Vier-Halbtage-Workshop
    25.–28. Januar 2022, Virtuell
Weitere IT-Trainings

Er hat auf Github ein Skript veröffentlicht, mit dem sich überprüfen lässt, ob sich in den eigenen Netzwerken anfällige Geräte befinden. Solange keine flächendeckenden Patches der Hersteller existieren, sind zusätzliche Sicherheitsvorkehrungen notwendig. Çadirci empfiehlt, alle unnötigen UPnP-Ports zu schließen, die aus dem Internet erreichbar sind. Außerdem sollten UPnP-Subscribe-Pakete und Notify-Http-Pakete bei sicherheitskritischen Geräten blockiert werden.

"Obwohl aus dem Internet zugängliche UPnP-Dienste allgemein als Fehlkonfiguration anzusehen sind, offenbart ein kürzlich durchgeführter Shodan-Scan noch immer eine Reihe von Geräten, die über das Internet erreichbar sind", schreibt das CERT Coordination Center der Carnegie Mellon University. Callstranger ist nicht die erste UPnP-Schwachstelle, die viele Geräte betrifft. Im Jahr 2013 fand sich ein Fehler in der Bibliothek libupnp, die Remote Code Execution ermöglichte und besonders bei Routern kritisch war. Noch Jahre später wurden ungepatchte Geräte für ein Botnetz genutzt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Alder Lake
Intel will mit 241 Watt an die Spitze

Kurz vor dem Launch zeigt Intel eigene Benchmarks zu Alder Lake, außerdem gibt es Details zur Kühlung und zum Denuvo-DRM.
Ein Bericht von Marc Sauter

Alder Lake: Intel will mit 241 Watt an die Spitze
Artikel
  1. Impfnachweise: Covid-Zertifikat für Adolf Hitler aufgetaucht
    Impfnachweise
    Covid-Zertifikat für Adolf Hitler aufgetaucht

    Im Internet sind gefälschte, aber korrekt signierte QR-Codes mit Covid-Impfnachweisen aufgetaucht.

  2. Mäuse, Tastaturen, Headsets: Logitech hat mit Lieferengpässen zu kämpfen
    Mäuse, Tastaturen, Headsets
    Logitech hat mit Lieferengpässen zu kämpfen

    Die große Nachfrage während der Coronapandemie hat Logitech 82 Prozent mehr Umsatz beschert. Allerdings kommt die Lieferung nicht hinterher.

  3. Pixel 6 und Android 12: Googles halbgare Android-Update-Schummelei
    Pixel 6 und Android 12
    Googles halbgare Android-Update-Schummelei

    Seit Jahren arbeitet Google daran, endlich so lange Updates zu liefern wie die Konkurrenz. Mit dem Pixel 6 und Android 12 enttäuscht der Konzern aber.
    Ein IMHO von Sebastian Grüner

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Samsung 4K-Monitore & TVs günstiger (u. a. 50" QLED 2021 749€) • Seagate Exos 18TB 319€ • Alternate-Deals (u. a. Asus B550-Plus Mainboard 118€) • Neues Xiaomi 11T 256GB 549,90€ • Ergotron LX Desk Mount Monitorhalterung 124,90€ • Speicherprodukte von Sandisk & WD [Werbung]
    •  /