Netzwerkprotokoll UPnP mit sehr gefährlicher Lücke

Das Netzwerkprotokoll Universal Plug and Play (UPnP) ist eigentlich auf das LAN beschränkt und galt somit solange als sicher, wie das LAN selbst nicht kompromittiert ist. Jetzt hat die Firma Rapid7 mit ihrer Netzwerk-Analysesoftware Metasploit 81 Millionen eindeutige IP-Adressen identifiziert, die per UPnP ansprechbar sind.

Universal Plug and Play (UPnP) dient der Identifizierung und Ansteuerung von netzwerkfähigen Geräten im Local Area Network (LAN). Es besteht aus einer Sammlung von Netzwerkprotokollen, die unter anderem IP, UDP, Multicast, TCP, HTTP, XML und SOAP umfasst. Damit können Endgeräte wie PCs, Router, Drucker, Network Attached Storage (NAS) und andere ohne Zutun des Anwenders miteinander kommunizieren und Daten übermitteln. Darüber hinaus ist UPnP in der Lage, Ports zum Internet zu öffnen, wenn dies von einer Software angefragt wird. Das findet üblicherweise im Bereich von Filesharing oder Multimedia Anwendung, in denen UPnP bei Anwendungen in den Einstellungen aktiviert werden kann und dem Nutzer das manuelle Port-Forwarding im Router abnimmt. Ein bekanntes Einsatzfeld ist in diesem Zusammenhang die Verteilung von Multimediainhalten im lokalen Netzwerk mittels eines UPnP-MediaServers.

Rapid7 hat bei seinen Scans mit Metasploit festgestellt, dass rund 40 bis 50 Millionen Geräte weltweit betroffen sind. UPnP ist in verschiedenen Variationen im Markt vertreten. Viele davon basieren auf Intels Bibliothek libupnp, die vor wenigen Tagen in einer abgesicherten Version veröffentlicht wurde. Eine weitere betroffene Umsetzung von UPnP ist MiniUPnP, das bereits vor rund zwei Jahren besser abgesichert wurde. Reparierte Tools nützen aber wenig, wenn die Hersteller nicht für Firmware-Updates sorgen. So hat HD Moore, der Metasploit entwickelt hat, ermittelt, dass nach zwei Jahren noch über 330 Geräte mit der alten, angreifbaren Firmware-Version auf dem Markt sind. Noch fataler ist die Situation bei Geräten, die nicht mehr im Handel erhältlich sind, da Hersteller hier kaum nachrüsten. Hier hilft meist nur das Abschalten von UPnP.

Nach weiteren Recherchen fand Moore Anfälligkeiten in der Implementation mehrerer Protokolle, darunter Simple Service Discovery Protocol (SSDP) und im UPnP Control Interface SOAP sowie in UPnP HTTP. Die Fehlkonfiguration im SOAP-Modul erlaube unter Umständen sogar das Öffnen von Ports in der Firewall von außen.

Die Forscher identifizierten insgesamt über 6.900 Produkte von mehr als 1.500 Anbietern, in denen mindestens eine der entdeckten Lücken ausnutzbar ist. Angreifer können über die Lücken den gesamten PC übernehmen oder angeschlossene Geräte wie Drucker oder Webcams kontrollieren. Wie viele der Geräte auch in Deutschland verkauft wurden, ist derzeit noch unbekannt. Die Telekom (Geräte der SpeedPort-Reihe) und Router-Hersteller AVM (Fritz!Box-Produkte) ließen aber bereits verlauten, dass keines ihrer Geräte von den Lücken betroffen sei. Vodafone gab bekannt, dass die aktuell an Kunden ausgelieferte Easybox 904 ebenfalls keine Lücken aufweise. Kabel Deutschland prüft derzeit noch in Rücksprache mit den Herstellern der Router, ob Geräte betroffen sind.

Chris Wysopal, CTO der Sicherheitsfirma Veracode, empfand die von Rapid7 entdeckten Angriffsvektoren im Gespräch mit Reuters als „beängstigend“. „Dies ist der am weitesten verbreitete Fehler, den ich je gesehen habe“, sagte er, um fortzufahren: „Es sind weitere Untersuchungen von Experten von Nöten, und die Ergebnisse könnten noch beängstigender werden“.

CERT, die Abteilung für Sicherheit in der IT bei Homeland Security in den USA, gab eine Warnung heraus und empfiehlt dringend die Abschaltung von UPnP. Linksys als einer der betroffenen Hersteller, zu denen unter anderem auch Belkin, Cisco, D-Link, Huawei, NEC, Sony und Siemens gehören, sagte, sie seien sich des Problems bewusst und raten ebenfalls zur Abschaltung der Funktion.

Andres Andreu, Chief-Architect bei Bayshore Networks, sieht nach der Veröffentlichung der Lücke einen Anstieg der Cyber-Kriminalität durch Angriffe auf Heim-Router bevorstehen. Bisher wird die Lücke nur in geringem Umfang für Angriffe genutzt. Rapid7 hat auf seiner Webseite ein Scantool bereitgestellt, mit dem Windows-Nutzer testen können, ob Netzwerkgeräte im heimischen LAN für Angriffe über UPnP anfällig sind.