Milyarlarca Cihazı Etkileyen UPnP Kusuru DDoS Saldırına Neden Oluyor

Milyarlarca cihazı etkileyen yeni açıklanan UPnP güvenlik açığı, dağıtılmış hizmet reddi (DDoS) saldırıları ve veri sızması gibi çeşitli kötü amaçlı etkinlikler için kullanılıyor.

Bir ağdaki cihazlarla otomatik keşfi ve etkileşimi kolaylaştırmak için tasarlanan UPnP protokolü, herhangi bir kimlik doğrulama veya doğrulama biçiminden yoksun olduğu için güvenilir yerel alan ağlarında (LAN) kullanılmak üzere tasarlanmıştır.

Yaygın olarak kullanılan İnternet’e bağlı cihazların çoğu UPnP desteği içerir, ancak UPnP’ye güvenlik özellikleri ekleyen Cihaz Koruma hizmeti yaygın olarak kullanılmamaktadır.

Pazartesi günü yayınlanan bir bildiride , CERT Koordinasyon Merkezi (CERT / CC), Açık Bağlantı Vakfı’nın (OCF-Open Connectivity Foundation) UPnP protokolünü güncellediği 17 Nisan’dan önce geçerli olan protokolü etkileyen bir güvenlik açığı konusunda uyarıda bulunuldu. Kusur, saldırganların “İnternet üzerinden erişilebilen rastgele hedeflere büyük miktarda veri” göndermesine izin verebilir.

CERT / CC, “İnternette UPnP hizmetleri sunmanın genellikle yanlış bir konfigürasyon olduğu düşünülse de, son zamanlarda yapılan bir Shodan taramasına göre İnternet üzerinde hala bir dizi cihaz mevcuttur.” şeklinde bir açıklama yaptı.

EY Türkiye’den Yunus Çadırcı tarafından keşfedilen güvenlik açığı, Asus, Belkin, Broadcom, Cisco, Dell, D-Link, Huawei, Netgear, Samsung, TP-Link, ZTE ve muhtemelen Windows PC’leri, oyun konsollarını, TV’leri ve yönlendiricileri etkiliyor.

Çadırcı, “Güvenlik açığı, UPnP SUBSCRIBE işlevindeki Geri Arama üstbilgisi değerinin bir saldırgan tarafından denetlenebildiği ve milyonlarca Internet’e bakan ve milyarlarca LAN aygıtını etkileyen SSRF benzeri bir güvenlik açığı oluşturduğundan kaynaklanmaktadır” dedi.

Korumayı sürdürmek için, satıcılara OCF tarafından sağlanan güncellenmiş özellikleri uygulaması tavsiye edilir. Kullanıcılar, yeni SUBSCRIBE spesifikasyonunu uygulayan güncellemeler için satıcı destek kanallarını izlemelidir.

Aygıt üreticileri, varsayılan yapılandırmalarda UPnP SUBSCRIBE özelliğini devre dışı bırakmalı ve uygun ağ kısıtlamalarıyla SUBSCRIBE özelliğini etkinleştirmek için açık kullanıcı onayının gerekli olduğundan emin olmalıdır. İnternet erişimli arayüzlerde UPnP protokolünün devre dışı bırakılması da önerilir.

“Ev kullanıcılarının doğrudan hedeflenmesi beklenmiyor. İnternete dönük cihazlarında UPnP uç noktaları varsa, cihazları DDoS kaynağı için kullanılabilir. ISS’nize Yönlendiricinizde CallStranger güvenlik açığı bulunan UPnP ile Internet bağlantısı olup olmadığını sorun – İnternete maruz kalan milyonlarca tüketici cihazı var. “

Güvenlik araştırmacısı ayrıca botnetlerin, son kullanıcı cihazlarını tüketerek kısa bir süre sonra tekniği uygulamaya başlayabileceğine dikkat çekiyor. İşletmeler internete maruz kalan UPnP cihazlarını engellemiş olabilir, ancak intranet-intranet port taramasının bir sorun haline gelmesi beklenmektedir.

About The Author

Reply