Miliardy urządzeń podłączonych do internetu mogą stać się łatwym łupem dla cyberprzestępców. Wszystko przez lukę CallStranger (CVE-2020-12695). To usterka protokołu Universal Plug and Play (UPnP). Służy on komunikacji pomiędzy komputerami oraz urządzeniami sieciowymi.
Czy to nie przesada z tymi miliardami? Hakerzy wykorzystując tę lukę mogą zaatakować urządzenia takie jak: komputery, routery, drukarki, konsole do gier, kamery czy telewizory. A co za tym idzie mogą wykradać dane, skanować porty LAN, a nawet zamieniać komputery w boty.
CallStranger to usterka protokołu UPnP, która pozwala komunikować się pomiędzy sobą urządzeniom znajdującym się w tej samej sieci. W związku z tym, że protokół jest adresowany dla zamkniętych i zaufanych sieci, nie wymaga uwierzytelniania. Routery zwykle mają wyłączony protokół UPnP, pozostawiając użytkownikom opcje włączenia. Sytuacja wygląda inaczej w przypadku telewizorów typu smart, które są sprzedawane z uruchomioną funkcją. Wada wykryta przez specjalistów bezpieczeństwa dotyczy wartości nagłówka wywołania zwrotnego, który może być kontrolowany przez napastnika.
Open Connectivity Foundation (OCF), organizacja odpowiadająca za bezpieczeństwo UPnP poinformowała o wprowadzeniu aktualizacji. Problem polega na tym, że droga pomiędzy wydaniem poprawki przez OCF i działaniami producentów może być bardzo długa. Ekspert cytowany przez dobreprogramy.pl zauważa, że „niektórzy dostawcy urządzeń wymienieni w poradniku CallStranger wydali lub właśnie wydają poprawki. Użytkownicy muszą sprawdzić czy łatka jest dostępna i zainstalować ją tak szybko, jak to możliwe”.
Źródło: dobreprogramy.pl
