2512863

Callstranger: Neue Schwachstelle im UPnP-Protokoll

09.06.2020 | 15:49 Uhr | Michael Söldner

Durch eine neue Sicherheitslücke im UPnP-Protokoll könnten Millionen Geräte weltweit attackiert werden.

Der Universal-Plug-and-Play-Standard (UpnP) ist praktisch, ermöglicht er doch die unkomplizierte Vernetzung von Geräten. Obwohl der Standard schon seit vielen Jahren existiert, fand der IT-Sicherheitsforscher Yunus Çadirci nun eine neue Sicherheitslücke. Die unter der Nummer CVE-2020-12695 gelistete Schwachstelle wird auch Callstranger  genannt. Sie betrifft unzählige Geräte wie Router, Spielkonsolen, Fernseher oder IP-Kameras. Durch die Schwachstelle wird es für Angreifer möglich, Barrieren im Netzwerk zu überwinden. Verwundbare Geräte lassen sich danach für DDoS-Attacken oder zum Abgreifen privater Daten einspannen. 

Grundlage für den Angriff ist die Tatsache, dass die betagte Subscribe-Funktion von UPnP die URL im Callback-Header nicht genau überprüft. Dadurch können Angreifer hier Manipulationen vornehmen. Schon im Dezember 2019 richtete sich Çadircim mit seinem Fund an die für UPnP zuständige Open Connectivity Foundation. Die Spezifikation wurde daraufhin im April 2020 angepasst. Leider müssen die Hersteller der betroffenen Geräte per Update auf die Sicherheitslücke reagieren, dies könnte lange dauern. Der Sicherheitsforscher empfiehlt bis dahin, alle nicht nötigen UPnP-Ports im eigenen Netzwerk für eine Erreichbarkeit aus dem Internet zu schließen. 

Unsichere Hardware: Risiken bei Smart-TV, Router und Co. aufdecken

PC-WELT Marktplatz

2512863