• IT-Karriere:
  • Services:

CallStranger: Große Sicherheitslücke betrifft Millionen UPnP-Geräte

Eine Schwachstelle im UPnP-Standard ermöglicht Netzwerk-Scans und DDoS-Angriffe. Bis alle Hersteller Updates bereitstellen, dürfte es lange dauern.

Artikel veröffentlicht am , Anna Biselli
Auch Xbox-Spielekonsolen sind von Callstranger betroffen.
Auch Xbox-Spielekonsolen sind von Callstranger betroffen. (Bild: Yasin Hasan/unsplash.com)

Eine Sicherheitslücke im Universal-Plug-and-Play-Standard (UPnP) betrifft unzählige Geräte. Die Schwachstelle mit der Nummer CVE-2020-12695 trägt den Namen Callstranger und wurde von dem IT-Sicherheitsforscher Yunus Çadirci veröffentlicht. ZDNet berichtete über den Bug.

Stellenmarkt
  1. Bezirkskliniken Mittelfranken, Ansbach, Erlangen
  2. Formel D GmbH, Köln

UPnP wird von Milliarden Smart Devices, Routern, IP-Kameras, Spielekonsolen oder Druckern unterstützt. Derzeit zeigt die Suchmaschine für das Internet der Dinge etwa 5,5 Millionen Geräte an, die im Netz erreichbar sind.

Der Bug kann es Angreifern ermöglichen, Sicherheitsvorkehrungen im Netzwerk zu umgehen und über ein verwundbares Gerät beispielsweise interne Netzwerke zu scannen, die Geräte für DDoS-Angriffe zu nutzen oder sogar Daten auszuleiten. Möglich wird das über die alte Subscribe-Funktion bei UPnP, bei der die URL im Callback-Header nicht überprüft wird und so von Angreifern kontrolliert werden kann.

Çadirci informierte die für den UPnP-Standard zuständige Open Connectivity Foundation im Dezember 2019, woraufhin die UPnP-Spezifikation im April aktualisiert wurde. Da es sich um eine Schwachstelle im Protokoll handelt, könne es jedoch lange dauern, bis alle Hersteller das Problem gepatcht hätten, schreibt Çadirci.

Eigene Sicherheitsvorkehrungen sind notwendig

Er hat auf Github ein Skript veröffentlicht, mit dem sich überprüfen lässt, ob sich in den eigenen Netzwerken anfällige Geräte befinden. Solange keine flächendeckenden Patches der Hersteller existieren, sind zusätzliche Sicherheitsvorkehrungen notwendig. Çadirci empfiehlt, alle unnötigen UPnP-Ports zu schließen, die aus dem Internet erreichbar sind. Außerdem sollten UPnP-Subscribe-Pakete und Notify-Http-Pakete bei sicherheitskritischen Geräten blockiert werden.

"Obwohl aus dem Internet zugängliche UPnP-Dienste allgemein als Fehlkonfiguration anzusehen sind, offenbart ein kürzlich durchgeführter Shodan-Scan noch immer eine Reihe von Geräten, die über das Internet erreichbar sind", schreibt das CERT Coordination Center der Carnegie Mellon University. Callstranger ist nicht die erste UPnP-Schwachstelle, die viele Geräte betrifft. Im Jahr 2013 fand sich ein Fehler in der Bibliothek libupnp, die Remote Code Execution ermöglichte und besonders bei Routern kritisch war. Noch Jahre später wurden ungepatchte Geräte für ein Botnetz genutzt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 38,99€
  2. 29,99€

JouMxyzptlk 09. Jun 2020

Es geht nur bedingt darum das KnowHow zu haben, sondern dass die Geräte alle ungefragt...

M.P. 09. Jun 2020

Ich wäre langsam für eine Umbenennung


Folgen Sie uns
       


Drive Pilot der S-Klasse ausprobiert

Die neue S-Klasse von Mercedes-Benz soll erstmals dem Fahrer die Verantwortung im Stau abnehmen.

Drive Pilot der S-Klasse ausprobiert Video aufrufen
Cyberpunk 2077: So wunderbar kaputt!
Cyberpunk 2077
So wunderbar kaputt!

Auch nach einem Monat mit Cyberpunk 2077 sind uns schlechte Grafik auf der PS4 oder die zahlreichen Bugs egal. Die toll inszenierte Dystopie macht uns nachdenklich und wird über Jahre unerreicht bleiben. Achtung, Spoiler!
Ein IMHO von Tobias Költzsch und Sebastian Grüner

  1. CES 2021 So geht eine Messe in Pandemie-Zeiten
  2. USA Die falsche Toleranz im Silicon Valley muss endlich aufhören
  3. Handyortung Sinnloser Traum vom elektronischen Zaun gegen Corona

Notebook-Displays: Tschüss 16:9, hallo 16:10!
Notebook-Displays
Tschüss 16:9, hallo 16:10!

Endlich schwenken die Laptop-Hersteller auf Displays mit mehr Pixeln in der Vertikalen um. Das war überfällig - ist aber noch nicht genug.
Ein IMHO von Marc Sauter

  1. Microsoft LTE-Laptops für Schüler kosten 200 US-Dollar
  2. Galaxy Book Flex2 5G Samsungs Notebook unterstützt S-Pen und 5G
  3. Expertbook B9 (B9400) Ultrabook von Asus nutzt Tiger Lake und Thunderbolt 4

Elektromobilität: Diese E-Autos kommen 2021 auf den Markt
Elektromobilität
Diese E-Autos kommen 2021 auf den Markt

2020 war ein erfolgreiches Jahr für die Elektromobilität. Dieser Trend wird sich fortsetzen: ein Überblick über die Neuerscheinungen 2021.
Ein Bericht von Dirk Kunde

  1. Elektromobilität 2020/21 Nur Tesla legte in der Krise zu
  2. Prototyp vorgestellt VW-Laderoboter im R2D2-Style kommt zum Auto
  3. E-Auto VDA-Chefin fordert schnelleren Ausbau von Ladesäulen

    •  /