UPnP (Universal Plug and Play) maakt het namelijk mogelijk om bijvoorbeeld NAS-apparaten (network attached storage), ip-camera's, internettelevisies en netwerkrouters vanaf internet te benaderen. De configuratie van die apparaten kan dan uitgelezen of zelfs aangepast worden. Ook is het mogelijk om dankzij fouten in de daarop draaiende UPnP-softwarestacks commando's en eigen code uit te voeren op sommige van die apparaten.

Alarmklok

Beveiligingsbedrijf Rapid7 heeft in de tweede helft van vorig jaar een grootschalige internetscan uitgevoerd en slaat alarm. Volgens die firma, van Metasploit-maker HD Moore, zijn wereldwijd ruim 83 miljoen ip-adressen waarachter apparaten zitten die reageren op UPnP-ontdekkingsverzoeken. Dat staat nog niet gelijk aan hackbaar, maar betreft slechts een erkenning dat het UPnP daar draait.

Toch is een groot deel van die UPnP-lekkende systemen wel kwetsbaar, waarschuwt Rapid7. Tussen de 40 en 50 miljoen van de gescande ip-adressen zijn vatbaar voor een hackaanval, via een van de drie methodes die het bedrijf uiteenzet in zijn whitepaper hierover.

Daar achteraan komt de securityleverancier met een gratis scantool - in online-vorm én als downloadbaar Windows-programma - om netwerken te scannen op UPnP-kwetsbaarheden. Die netwerktool geeft na een scan eerst uitgebreid de gaten in verschillende UPnP-implementaties weer, om dan de daadwerkelijke scanresultaten te tonen. Hacktoolkit Metasploit is al voorzien van een module om op UPnP te scannen.

Aan banden leggen

It-beveiligingsorgaan NCSC (Nationaal Cyber Security Centrum) van de Nederlandse overheid geeft het advies UPnP aan banden te leggen. Om te beginnen dient dat protocol uitgeschakeld te zijn op routers, waardoor achterliggende systemen niet langer via UPnP zijn te bereiken. Kwaadwillenden kunnen via UPnP namelijk kwetsbaarheden in andere software, van systemen op het interne netwerk, benutten.

Verder adviseert het NCSC om UDP-poort 1900 te blokkeren in firewalls, en om eventueel UPnP uit te schakelen op individuele apparaten. "Deze maatregel biedt extra veiligheid, maar gaat wel ten koste van het gebruikersgemak: het apparaat is nu ook niet meer via UPnP vindbaar binnen uw eigen netwerk."