Llamado CallStranger, permite que un atacante acceda a dispositivos con conexiones continuas a Internet
Un error en un protocolo utilizado por prácticamente todos los dispositivos de Internet de las Cosas expone a millones de usuarios a posibles ataques, informó un investigador el lunes. La falla se centra en el protocolo Universal Plug and Play (UPnP por sus singlas en inglés), una implementación de 12 años que simplifica las conexiones entre dispositivos de red como computadoras, impresoras, dispositivos móviles y puntos de acceso Wi-Fi.
Miles de millones de dispositivos son teóricamente vulnerables, según el informe, pero solo aquellos con UPnP activado actualmente corren el riesgo de ataque.
El ingeniero de seguridad turco Yunus Çadirci descubrió el error UPnP, llamado CallStranger, que podría explotarse para obtener acceso a cualquier dispositivo inteligente, como cámaras de seguridad , impresoras y enrutadores que están conectados a Internet. Una vez que se obtiene acceso, se puede enviar código malicioso a través de firewalls de red y otras defensas de seguridad y llegar a bancos de datos internos.
El error también permite a los atacantes acumular subrepticiamente un gran número de dispositivos para participar en ataques de denegación de servicio que inundan los objetivos con tráfico, bloquean el tráfico legítimo, abruman los recursos de procesamiento y hacen que se bloqueen los sistemas.
Çadirci opera un sitio web dedicado a la información sobre la vulnerabilidad CallStranger. La detectó por primera vez a fines del año pasado y notificó a la Open Connectivity Foundation, que desde entonces ha actualizado las especificaciones de UPnP para abordar el problema. Los proveedores y los proveedores de servicios de Internet solicitaron que se retenga la notificación de la vulnerabilidad hasta que tengan tiempo de abordar el problema.
"Debido a que esta es una vulnerabilidad de protocolo, los proveedores pueden tardar mucho tiempo en proporcionar parches", dijo Çadirci en su informe. Dado que algunos fabricantes aún no han corregido el problema y muchos dispositivos IoT nunca reciben actualizaciones, los consumidores deben contactar a los fabricantes de cualquier dispositivo UPnP que usen para determinar si hay parches de software o hardware disponibles.
Se sabe que Universal Plug and Play deja a los usuarios vulnerables a los ataques. Un proyecto de investigación de 2013 confirmó que más de 81 millones de dispositivos que presumiblemente estaban protegidos dentro de las redes locales eran de hecho visibles para actores potencialmente maliciosos más allá de esas redes.
"Vemos la exfiltración de datos como el mayor riesgo de CallStranger", dijo Çadirci. "Verificar los registros es fundamental si algún actor de amenazas usó esto en el pasado. Debido a que también se puede usar para solicitudes de denegación de servicio distribuidas, esperamos que las botnets comiencen a implementar esta nueva técnica al consumir dispositivos de usuario final".
Los expertos en seguridad aconsejan a los usuarios que deshabiliten UPnP en dispositivos conectados a Internet si sus negocios no requieren tales conexiones. Los routers generalmente permiten que se desactive UPnP desmarcando una casilla en el menú de configuración.
Si bien el error afecta a prácticamente todos los dispositivos UPnP, Çadirci probó y confirmó vulnerabilidades en una docena de dispositivos, incluidos los de Microsoft, Asus, Broadcom, Cisco, D-Link, Epson, HP, Huawei, NEC, Philips y Samsung.
Çadirci explicó que los atacantes transmiten paquetes TCP con valores de encabezado de devolución de llamada manipulados utilizando la función SUBSCRIBE de UPnP. Esto permite que un invasor acceda a dispositivos con conexiones continuas a Internet.
Una lista de dispositivos vulnerables conocidos y sospechosos está disponible en el sitio web de publicidad de CallStranger, pero sería prudente no suponer que esto es definitivo (hay un script disponible para sondear la red en busca de dispositivos vulnerables).
