UPnP-Lücke macht Router angreifbar

Das US-Cert warnt in seinem aktuellen Security-Advisory vor einer Lücke in der Implementierung der UPnP-Protokolle, welche zahlreiche Router und andere Endgeräte betrifft. Offenbar sind alle älteren Versionen der “libupnp” Bibliothek (vor Version 1.6.17 ) von der Lücke betroffen. Der Fehler wurde vom Sicherheitsunternehmen Rapid7 entdeckt, das die Lücke dem Cert mitgeteilt und ein detailliertes Whitepaper dazu online gestellt hat. Darin dokumentiert Rapid7 die Lücke auch mit Codebeispielen.

Per UPnP können im lokalen Netzwerk Geräte einfach miteinander kommunizieren und eingerichtet werden. Im Prinzip sollte man davon ausgehen, dass UPnP nur in lokalen Netzwerken funktioniert und z.B. dort per Multicast nach kompatibler Hardware sucht.  Allerdings wurde entdeckt, dass ganze Geräteserien auch auf UPnP-Anfragen über das WAN-Interface – also beispielsweise einen DSL-Anschluss – reagieren und so durch Ausnutzen der Lücke kompromittiert werden können. Bei den betroffenen Geräten wurde zur Implementierung der UPnP-Funktionen überwiegend die Bibliotheken libupnp und MiniUPnP eingesetzt.
Die Anfälligkeit der UPnP-Funktionen an sich ist nichts neues. Wir berichteten bereits 2011 darüber. Damals entdeckte der IT-Sicherheitsexperte Daniel Garcia eine Sicherheitslücke im UPnP Protokoll vieler Router, mit der es möglich war, diese über das Internet umzukonfigurieren. Auch dabei antworteten die betroffenen Router auf UPnP-Requests über die WAN-Schnittstelle.

Die neu gefundene Lücke im UPnP-Protokoll ist gerade bei Routern kritisch, welche durch das Ausnutzen der Lücke kompromittiert werden können. Aber auch andere Geräte wie Mediaboxen, NAS-Laufwerke, Blu-Ray-Player und Spielekonsolen sind davon betroffen, da sie UPnP nutzen, um sich im lokalen Netzwerk z.B. gegenseitig zu finden und etwa Steuerbefehle auszutauschen. Alle diese Geräte sind aber im lokalen Netzwerk, wie von den Erfindern des Protokolls vorgesehen. Nicht vorgesehen war, dass solche UPnP Requests als Unicast aus dem Internet kommen können und ein Router über seine WAN-Schnittstelle auf diese antwortet. So konnte Rapid7 bei einem Scan über 80 Millionen IPs identifizieren, die selbstständig auf UPnP-Requests antworteten und zwischen 40 und 50 Millionen davon konnten bei einer von drei daraufhin initiierten Attacken kompromittiert werden. Mehr als 6.900 Produkte von über 1.500 Herstellern wurden identifiziert, darunter bekannte Hersteller wie Huawei, Belkin, Cisco, Linksys, D-Link und Siemens.

Wir raten dringend dazu, über Firewall-Regeln den UDP-Port 1900 zu blockieren oder die UPnP-Funktion nach Möglichkeit abschalten. Ist es nicht möglich UPnP selektiv für den WAN-Port abzuschalten, so sollte es gänzlich im Router abgeschaltet werden. Die Funktionen von Universal Plug and Play lassen sich dann auch innerhalb des lokalen Netzes von anderen Geräten weiterhin nutzen, nur kann der Router nicht mehr von anderen Geräten per UPnP konfiguriert werden.  Auf der Homepage des Sicherheitsunternehmens Rapid7 findet sich ein Programm zum Testen von IP-Bereichen auf UPnP-Lücken. Zur Aktivierung des Tools muss man seine persönlichen Daten eingeben.

Laut Telekom sind die SpeedPort-Router des Unternehmens nicht von der UPnP Sicherheitslücke betroffen, wie aus einer bei Golem.de veröffentlichten Meldung hervorgeht. Auch die beliebten Router von AVM sind nach Auskun ft des Unternehmens nicht betroffen, da die Libupnp-Bibliothek von AVM noch nie eingesetzt wurde.