'Tientallen miljoenen apparaten kwetsbaar door netwerklek' en andere alarmerende koppen in de pers. Netwerkprotocol Universal Plug and Play (UPnP) blijkt universele aansluit- en speelmogelijkheden te bieden. Waar het voor is bedoeld. Alleen blijkt het onbedoeld ook open te staan naar de buitenwereld van het grote boze internet toe, waarschuwt securitybedrijf Rapid7.

LAN versus internet

Daardoor is de functionaliteit van zo'n UPnP-apparaat te zien en in sommige gevallen aan te roepen: dus te gebruiken. Wat de security-impact echter flink vergroot is de combinatie met slordigheden van fabrikanten of zelfs gaten. Het eerste betreft bijvoorbeeld toegang tot een openstaand configuratiepaneel voor bewakingscamera's. Daarmee is het apparaat in kwestie natuurlijk zó te pwnen.

De tweede verergerende factor, de aanwezigheid van gaten, is ernstiger. Het feit dat UPnP domweg open en bloot blijkt te staan op internet wordt een serieuzer securityprobleem doordat het protocol kwetsbaarheden bevat. Niet zozeer het protocol zelf, maar de verschillende implementaties ervan.

Thuisroutertjes

De daadwerkelijke gaten zitten in de softwarestacks voor het gebruikersvriendelijke protocol. Die kwetsbare software draait in apparaten zoals breedbandrouters, ip-camera's, internettelevisies, NAS-systemen (network attached storage), mediaspelers, beamers en andere elektronica. Ook besturingssystemen hebben eigen UPnP-implementaties, waar in de loop van de afgelopen tien jaar al gaten in zijn geschoten. En vervolgens gedicht.

Voor het overgrote deel gaat het hier om consumentenapparatuur. En daarin zit dan weer het probleem: voor consumenten wordt de configuratie op 'makkelijk' en 'kant-en-klaar' ingesteld door de leverancier. Of dat nou een routerfabrikant is of een internetprovider. Wat al jaren bekend is. Rapid7 noemt de fabrikanten Linksys (nu nog dochter van Cisco), NetGear, Belkin en D-Link.

Consumerization in bedrijf

Dat dit probleem in wezen niet om zakelijke apparatuur gaat, doet niet heel veel af aan de mogelijke impact voor bedrijven. Hoeveel kleinere ondernemingen kiezen niet voor de lagere prijs van consumentenproducten, of eventueel SOHO-apparaten (small office, home office)? Of kiezen dat voor kleinere kantoren, of thuiswerkers?

Consumentenapparatuur sluipt het bedrijfsleven in. Lees verder op pagina 2.

Naast de prijsgedreven keuze voor consumentenelektronica kan die apparatuur ook langs andere weg doordringen in het bedrijfsleven. Zie het toenemende zakelijke gebruik van bijvoorbeeld mediaspelers, tablets en beamers met netwerkaansluiting. Zo kan ook UPnP ook binnenkomen. Bedrijven moeten dat beheerloze protocol dan eigenlijk ook niet gebruiken, is al in 2007 geconstateerd.

Korte support

Bovendien krijgt consumentenapparatuur in de praktijk bar weinig support, wat firmware-updates en vooral de complexiteit van securityfixes betreft. Fabrikanten komen wel met updates maar die brengen in de regel meer of nieuwe functionaliteit. Het uitschakelen van functies, zoals het op gemak gerichte UPnP, staat niet hoog op de agenda.

De makers doen het volgens security-expert HD Moore van Rapid7 bar slecht wat betreft het tijdig - of überhaupt - uitbrengen van securityfixes. "Vergeet niet wat hun business model is. Dit zijn bedrijven die hun geld elke zes maanden verdienen door het uitbrengen van hun volgende ronde apparaten", vertelt hij aan Webwerelds Amerikaanse zustersite InfoWorld.com. Dat model heeft gevolgen voor het onderhoud: dat blijft vaak achterwege.

Fix: koop nieuwe?

"Na twee of drie jaar sinds het lanceren van een apparaat is het echt niet meer de tijd of moeite waard om firmware-updates daarvoor te onderhouden." Een leverancier als Linksys verwijst klanten dan ook naar zijn site om te zien of hun thuisrouters kwetsbaar zijn en om daar instructies op te zoeken hoe ze UPnP moeten uitschakelen. Soms zijn er geen fixes beschikbaar, soms zijn die al twee jaar geleden verschenen maar in veel gevallen nog altijd niet geïnstalleerd op de kwetsbare apparaten.

Hoe dan ook hoort UPnP niet open te staan naar het internet toe. De praktijk is echter anders. Net zoals eind vorig jaar het zakelijk bedoelde beheerprotocol SNMP vanaf internet toegankelijk bleek. Een goede beheerder zorgt dat dergelijke lekkage, naar buiten maar ook breed naar binnen, niet plaatsvindt.

Beheerwerk aan de winkel

Bijvoorbeeld door poorten dicht te zetten op systeem- en firewallniveau; door authenticatie in te stellen; door alleen specifieke ip-adressen, gebruikers en systemen toe te staan. Of door een risico, zoals het voor consumenten bedoelde UPnP, geheel uit te schakelen. Wat het Nederlandse cybersecurity-orgaan NCSC aanraadt, in navolging van de Amerikaanse overheid.

Het is hoe dan ook verstandig om apparaten niet of niet zomaar te verbinden met internet, ook al is het indirect. Want UPnP staat nu in de belangstelling, maar verdacht veel verkeer op de door dat protocol gebruikte UDP-poort 1900 is namelijk begin deze eeuw al vaak genoeg opgemerkt. En daar zijn toen al tegenmaatregelen, tools en tips voor gegeven. Nuttig voor beheerders, thuisgebruikers én hackers. Net zoals nu.