A través de un aviso previo a la publicación se nos ha informado que este 21 de Abril se va proceder a hacer públicos los detalles de una vulnerabilidad en el protocolo de Universal Plug and Play (UPnP) que, al ser en el protocolo, está presente en la mayoría, sino todos los dispositivos que soportan UPnP.
Esto es especialmente peligroso cuando existen equipos expuestos a Internet con este protocolo expuesto.
Según el reporte el atacante podrá aprovechar esta falla para:
- Realizar ataques de amplificación (DDOS) contra terceros. Este ataque usaría el protocolo TCP. Siendo un caso diferente del presentado anteriormente por CloudFlare https://www.cloudflare.com/learning/ddos/ssdp-ddos-attack/
- Exfiltrar información a través de una petición http usando callback. La mayoría de impresoras, routers, cámaras IP y tecnologías embebidas presentan esta funcionalidad.
Para ello el autor del reporte sugiere que:
- Se deshabilite los puertos de control/eventing (TCP) que son normalmente expuestos a Internet a través del protocolo TR069 y otros protocolos de gestión. Debe verificarse si los routers de cable/dsl en su stack UPnP tienen la función «SUBSCRIBE» activa.
- Contactar con el fabricante para obtener una actualización de todos los dispositivos que utilicen UPnP
- Se configuren los sistemas antiDDOS para detectar y bloquear el tráfico provocado por el UPnP subscribe.
Para mayor información debe consultarse el sitio: https://callstranger.com
