UPnP, la vulnerabilidad como una oportunidad que simplemente no morirá

UPnP: en un mundo perfecto, sería la respuesta a muchos dolores de cabeza de conexión a medida que agregamos más dispositivos a nuestras redes domésticas. Pero en la práctica causa muchos dolores de cabeza cuando se trata de mantener seguras esas redes.

Probablemente muchos lectores de La-Tecnologia brinden algún soporte técnico a familiares o amigos. Ayudaremos a resolver los identificadores de correo electrónico y de escritorio de mamá, y configuraremos su nuevo enrutador y lo bloquearemos tanto como sea posible para minimizar la posibilidad de que los villanos le causen problemas. Probablemente una de las primeras cosas que haremos es algo que sea noticia antigua en nuestra comunidad; Para asegurarnos de que una vulnerabilidad conocida expuesta al mundo exterior esté conectada, desconectamos UPnP con cualquier cable de módem o enrutador ADSL que haya proporcionado su proveedor.

Travesuras de YouTube

Deshabilite el UPnP definido en un BT HomeHub más antiguo extraído por el enrutador excesivo.

Uno pensaría eso con un historial deshonroso de UPnP explotando los días de los enrutadores automáticamente habilitándolo detrás de nosotros, pero una fuente inesperada nos recordó que tal vez este no sea el caso. Las estrellas de YouTube PewDiePie (un controvertido crítico de juegos y comediante sueco) y T-Series (sello discográfico indio) lo están explorando para obtener la codiciada corona de la mayoría de los suscriptores más molestos. Los fanáticos del sueco parecen haber recurrido a malas tácticas, primero enviando spam a las impresoras no impresas del mundo y, más recientemente, reproduciendo sus videos en innumerables medios y programas de televisión conectados. Aquí volvemos a encontrarnos con nuestro viejo amigo UPnP, porque en el más extendido de estos ataques es utilizado por los delincuentes como una vulnerabilidad por la que pueden acceder a los reproductores de Google Chromecast.

Pelar el llamado Hack

Los medios, por supuesto, se refieren a él como el trabajo de hackers de élite, sin duda con capuchas y gafas oscuras mientras emiten febrilmente código en una pantalla verde. La verdad es un poco menos elegante y radica en una afortunada confluencia de puertas abiertas de par en par, debido más simplemente a aprovechar una oportunidad que se les brinda que a cualquier noción 1337 5k1lz. Para deseleccionarlo, debemos dar un paso atrás y mirar los protocolos relevantes.

Sabemos cómo son los piratas informáticos, ¡porque la BBC tenía algunos en la televisión justo antes de Navidad!

Universal Plug And Play es un protocolo diseñado para garantizar que los dispositivos en línea para el hogar se detecten automáticamente entre sí y simplemente funcionen. Su intención es liberar a un usuario doméstico no técnico de una configuración de red manual, y lo hace al permitir que los dispositivos se anuncien con una descripción de dispositivo XML estándar que contiene información sobre sus capacidades y las direcciones necesarias para acceder a ellos. Por su naturaleza, es un protocolo ampliamente abierto con poca seguridad, sino que depende de estar conectado a redes domésticas privadas.

Muchos enrutadores han habilitado históricamente el acceso UPnP a Internet de forma predeterminada, lo que significa que las vulnerabilidades dentro de él pueden explotarse y que los dispositivos con poca seguridad pueden usarlo para solicitar puertos abiertos al mundo exterior. La solución consiste en deshabilitar el acceso UPnP en el enrutador como mencionamos anteriormente, pero desafortunadamente incluso este paso supera a la mayoría de los usuarios domésticos. Los lectores habituales de La-Tecnologia recordarán nuestros informes sobre este tema antes, la última vez que hizo los servicios de noticias más generales.

¡Claro, cualquiera puede usar mi TV!

El BishopFox RickMote automatizó un pirata informático de Chromecast 2014 (GNU GPL 3.0)

Detrás de esta línea de defensa relativamente débil se encuentra el Chromecast. Una forma conveniente de conectar en red su televisor usando su teléfono o tableta como cliente, debe su fácil uso a UPnP y es tan fácil de adaptar para reproducir un video de YouTube para cualquier persona con acceso a la red en la que se encuentra. Nada nuevo lo explota, por lo que las descripciones de los medios de un súper hack están fuera de lugar.

Teniendo en cuenta que muchos enrutadores domésticos todavía tienen UPnP habilitado y que la televisión conectada ya no es la cosa extraña de vanguardia que podría ser hace unos años, los videos de PewDiePie son probablemente solo el extremo delgado de la brecha. En la historia vinculada anteriormente, nuestro colega Tom Nardi bromeó acerca de una industria emergente de empresas en la sombra que ofrecen la llamada publicidad impresa, agregando publicidad invasiva en el espacio de la televisión conectada a esa visión de futuro indeseable. Cuando esto suceda, indudablemente veremos mucha indignación, pero la triste verdad es que más allá de presionar para que la mayor cantidad de personas posible cierren UPnP en sus enrutadores, quizás haya poco que se pueda hacer al respecto.

Los fabricantes a menudo no se preocupan por sus productos obsoletos, por lo que no verterán versiones de firmware para resolver el problema en los enrutadores afectados, e incluso si producen tales actualizaciones, la mayoría de las veces deberán instalarse manualmente. Nos gustaría pensar que los enrutadores que se envían actualmente no tienen UPnP activado de forma predeterminada y que unos años de ciclos de reemplazo de dispositivos eliminarían el problema, pero no tenemos evidencia de eso y de alguna manera sospechamos que podría estar un poco fuera de lugar. . mucho que esperar. Mientras tanto, todo lo que podemos hacer es hacer todo el ruido posible al respecto, mantener los enrutadores que nos rodean actualizados y tan seguros como podamos, y parecernos satisfechos la próxima vez que la historia entre en la conciencia pública.

Imagen de título: Chromecast de primera generación, Ericajoy (CC BY-SA 2.0).

  • Steve dice:

    Desde que me enteré de este problema, he estado tratando de encontrar una manera de desactivar UPnP y seguir usando mi Chromecast. Los documentos de Chromecast dicen que necesito tener habilitado UPnP. ¿De todos modos alrededor de esto? ¿Necesito reenviar puertos manualmente?

    • gerben123 dice:

      Mi enrutador funciona OpenWRT y ni siquiera tiene UPnP, y mi complemento funciona bien en el exterior.

      • luego dice:

        (Oh, informó el comentario anterior para golpear a los administradores receptivos, ignoren eso)

        Puedo informar lo mismo aquí. Tengo 2 complementos ejecutándose en mi red doméstica (OpenWRT) y apagué UPnP hace años. Habiendo dicho eso, creo que el complemento apareció primero, luego OpenWRT, luego UPnP desfigurado, por lo que es posible que deba habilitarlo durante unos segundos para que Chromecast haga agujeros en los puertos de enrutamiento y luego puede deshabilitar UPnP.

      • Steve dice:

        Aparentemente eso es lo que informa la mayoría de la gente. Solo intento entender por qué Google sigue diciendo que es necesario y qué no funciona si está apagado:
        https://support.google.com/chromecast/forum/AAAAt7PFQG4Aa7vnbAbbCA?hl=es

        • luego dice:

          Tal vez digan esto porque si mis enrutadores se restauraran con algo (¿actualización de firmware?) ¿Entonces el dispositivo dejaría de funcionar hasta que reactive UPnP? Quizás Google simplemente no sabe cómo funciona su propio producto o para qué lo usa / quiere la gente. Como se puede ver, su constante eliminación y adición de productos que son una duplicación efectiva de otras cosas que ofrecen.

        • simcop2387 dice:

          UPnP tiene más que solo reenvío de puertos, también hay SSDP como parte de él utilizado como descubrimiento. https://en.wikipedia.org/wiki/Universal_Plug_and_Play#Discovery

          Esa es la única parte (de la que yo sé) que Chromecast realmente necesita como soporte. Algunos enrutadores realmente bloquearán SSDP y otras funciones UPnP en clientes inalámbricos como parte de una medida de seguridad / firewall.

    • karulo dice:

      La mayoría de los enrutadores que he usado hasta ahora no permiten que UPnP pase por la WAN. Entonces, aunque esto podría ser cierto alrededor del año 2000, ahora debería estar bastante seguro. Un enrutador normalmente bien diseñado aceptará una solicitud UPnP para abrir un puerto cuando provenga de su LAN (dentro de su red) e ignorará dicha solicitud cuando provenga de un sitio web salvajemente salvaje.
      En ese caso, a menos que uno de sus dispositivos sea pirateado por cualquier otro medio (y en ese caso, UPnP es el menor de su número), UPnP no es un problema.
      Tenga en cuenta que UPnP se basa en un paquete UDP de múltiples funciones que nunca está permitido en Internet, por lo que su forma no es que un atacante enumere su dispositivo desde el exterior, solo puede * adivinar * (a menos que tenga un enrutador roto , consulte a continuación para probarlos).

      Una forma muy sencilla de comprobar esto es emitir una solicitud desde un "puerto abierto" UPnP a su dirección IP pública desde Internet (no a su LAN, obviamente). Luego, ejecute un escaneo de puertos de Internet usando su dirección IP pública. Si el puerto solicitado está abierto, su implementación de enrutamiento UPnP está rota y debe deshabilitarse.

      Puede utilizar muchos servicios en línea que pueden realizar este escaneo por usted:
      https://www.grc.com/x/ne.dll?rh1dkyd2
      https://www.speedguide.net/portscan.php?udp=1&port=1900
      Y puede probar la implementación TCP (mala) habitual de UPnP para un enrutador defectuoso (en el puerto 5431, 2048, 2869, 1900)
      https://www.grc.com/x/portprobe=5431

      Además, si conecta un dispositivo desconocido a su LAN, * puede * pedirle que abra un puerto. Esto no es un problema en sí mismo si el dispositivo está correctamente asegurado. Si no desea este comportamiento, el dispositivo * debería * permitirle deshabilitar UPnP y abrirse un puerto. Si no, tienes que devolver el dispositivo porque está mal codificado y en ese caso no confiaría en su seguridad en mi red.

      Además, cuando apaga el dispositivo, debe ir a la página de puerto abierto del enrutador para asegurarse de que no haya ningún puerto abierto.

    • Jake dice:

      Sí, este artículo no parece indicar UPnP interno versus externo. Dentro de su red, UPnP es excelente porque las cosas simplemente funcionan. Por alguna loca razón, UPnP solía configurarse desde la red externa.

  • Ren dice:

    "Nos gustaría pensar que los enrutadores que se envían actualmente no tienen UPnP activado de forma predeterminada" ...

    ¿Por qué un fabricante chino apagaría UPnP? Probablemente sean propiedad de su gobierno, que tiene interés en el acceso remoto a las redes informáticas de todo el mundo.

  • gerben123 dice:

    ¡Todavía no entiendo cómo hicieron esto!

    Sé que puedes perforar agujeros en el firewall usando UPnP. Pero solo puede perforar este agujero si (ya) está dentro de la red privada. Entonces puedes usarlo como herramienta de escalada.

    • karulo dice:

      Si ya está dentro, no se necesita UPnP, cualquier perforación basada en UDP funcionará. La única forma en que podrían hacer esto es si su enrutador acepta una solicitud UPnP de la WAN, lo cual es ... tonto ... pero no imposible.

      • Vejestorio dice:

        Y no tan a menudo: https://www.akamai.com/uk/en/multimedia/documents/white-paper/upnproxy-blackhat-proxies-via-nat-injections-white-paper.pdf

  • Michal dice:

    Confunde UPNP, DLNA y multidifusión en este artículo. UPNP (enrutador) = reenvío automático de puertos. DLNA = control de servidores de medios y pantallas en una red. multidifusión = descubrimiento de dispositivos en una red. Excepto que los complementos no se utilizan y funcionan bien sin UPNP, como con OpenWRT o enrutador pfSense.

    • Sjaak dice:

      También estás confundido: P

      multicast es el método que permite enviar un paquete a varios hosts, ssdp son protocolos de descubrimiento que utilizan multicast. La multidifusión generalmente permanece dentro de la subred.

  • Daren Schwenke dice:

    Qué tal esto.
    Desactivar por defecto. Habilite UPnP cuando se presione el botón WPS, durante los próximos 5 minutos.
    Presione un botón, encienda su nuevo dispositivo.
    Conserva la parte de "simplemente funciona", ahora envuelta en una simple seguridad física.

    • Martillo volador dice:

      Así que haga que un sistema vulnerable confíe en otro sistema vulnerable probado. Veo que algo anda mal con eso ...

      Más específicamente, el aspecto de seguridad física ya estaba cubierto por el hecho de que colocó el problema en su red y pasó por la rutina de emparejamiento / arreglo. No es como si estuviéramos hablando de un dispositivo deshonesto aquí.

  • russdill dice:

    Lo de UPnP realmente no me pareció interesante, es la vulnerabilidad del enrutador, no Chromecast. El ataque más interesante fue el ataque desauténtico.

  • mswope63 dice:

    ¿Por qué UPnP estaba abierto a Internet en primer lugar? ¿Cuál fue el caso de uso para permitir un enlace externo de forma predeterminada?

  • bosque eterno dice:

    Yo ❤ UPnP. Deshabilitarlo puede ser lo mejor si está seguro
    dispositivos inseguros, pero sigue siendo un truco, y UPnP o algo similar es muy necesario para cosas P2P confiables.

    Si ya hay un malware o un error de seguridad ENTRE SU red, bueno, ya está bloqueado y algunos problemas son los culpables del malware o del error. El verdadero problema aquí es que los fabricantes hacen cosas de código cerrado que no podemos actualizar, ni se actualizan ellos mismos.

    Se supone que UPnP solo se puede administrar desde dentro de la red (aunque algunos enrutadores podrían controlarse externamente, nuevamente debido a un error).

    Como cualquier historia de seguridad. Más líneas de código son más formas de engañar a los malos, pero estoy seguro de que a mucha más gente se le seca accidentalmente el cartucho de tinta que a la tinta desperdiciada por un pirata informático.

    • Sjaak dice:

      Si ya está dentro, aún desea limitar el daño que se puede hacer. Un dispositivo que no sea de confianza también debe usar una VLAN invitada (y WLAN). Por lo general, gastvlan solo tiene acceso a HTTP (s) y DNS y de ninguna manera a otros dispositivos críticos en la red (VLAN separada) ni desea que el dispositivo agregue solicitudes de puerta de enlace a servicios internos (como NAS).

      la seguridad no es solo una capa, es varias capas. Al igual que el banco, tienen cerradura en la puerta de entrada, cerradura en la puerta de la oficina y una habitación separada con una gran bóveda con otra cerradura grande. Una vez en el banco, aún debe acceder a las oficinas y a la bóveda. incluso si camina con alguien dentro de las oficinas, todavía hay una bóveda cerrada. Pero asegúrese de que la bóveda no tenga ventanas o paredes de yeso débiles 🙂

      • bosque eterno dice:

        El problema de deshabilitar UPnP parece absolutamente trivial de solucionar. Simplemente llame a casa a través de una conexión HTTP y obtenga el tráfico malicioso. E incluso eso es necesario solo si no puedes hacer el mal tú mismo.

        La única diferencia es que el mapa de puertos puede durar después de que se van, pero lo más probable es que, si está mal en su red, lo hayan verificado.

        Me imagino que un vlan de invitados bien organizado debería estar lo suficientemente aislado como para que no importe qué tipo de mierda UPnP hagan.

        Sin embargo, no tengo una red para invitados, nadie con nuestra PSK WiFi probablemente tenga motivos para hackearnos, y lo único que podrían hacer es atornillar la impresora de todos modos.

    • Doug dice:

      UPnP es el truco. Solo es necesario porque los usuarios domésticos típicos son demasiado estúpidos para configurar su red.

  • Noche dice:

    Si un dispositivo no te permite configurar manualmente un puerto que usará e insiste en uPnP, tiraría ese dispositivo a la basura porque está mal diseñado y sus desarrolladores creen que su comodidad y pereza valen más que tu seguridad.

    • Martillo volador dice:

      No sé cómo decírselo, pero la gran mayoría no lo permite. Así que supongo que no posee ninguna técnica de consumo conectada a Internet de la última década.

  • ¿yo no? dice:

    no es un truco. es ingeniería social la desaparición de upnp

Eva Jiménez
Eva Jiménez

Deja una respuesta

Tu dirección de correo electrónico no será publicada.