viernes, 8 de febrero de 2013

Ejecución remota de código en diversas implementaciones y equipos UPnP

Tras las investigaciones realizadas en las últimas semanas se ha determinado la viabilidad de una vulnerabilidad de ejecución remota de código en diversas implementaciones UPnP, que afectaría a millones de dispositivos conectados a Internet. Según las últimas estimaciones más de 40 millones de dispositivos, desde routers hasta impresoras pasando por SmartTVs y dispositivos multimedia expuestos a Internet, podrían ser vulnerables a diferentes ataques de revelación de información, denegación de servicio, o ejecución de remota de código.

Como alertamos en la  una-al-dia "Discutida vulnerabilidad en routers Cisco Linksys", existiría una vulnerabilidad presente en los routers Cisco Linksys que afectaba al módulo Universal PnP (UPnP). Posteriores investigaciones han aclarado que el problema reside en la implementación de UPnP realizada y que también afecta a otras marcas, fabricantes y dispositivos que utilicen el chipset de la marca Broadcom, presente en multitud de routers y entre ellos el propio de Cisco, Linksys WRT54GL.

Verdaderamente el problema no reside en el chipset en sí, sino en una incorrecta implementación de la pila UPnP por parte de los diferentes fabricantes al utilizar versiones vulnerables o no actualizar debidamente los dispositivos, entre los que se incluyen Intel/Portable UPnP SDK (libupnp), MiniUPnP SDK o la propia de Broadcom. En esta última se ha conseguido ejecutar código de manera remota (según las investigaciones de Defensecode) e identificar 15 millones de dispositivos con chipset Broadcom y módulo UPnP vulnerable.

Las vulnerabilidades ya han sido correctamente identificadas, todas ellas relacionadas con desbordamientos de memoria basados en pila, a través del envío de paquetes UDP especialmente manipulados. Ocasionado por la falta de filtrado previo al utilizar funciones de tipo "strncpy()" o "sprintf()" y no gestionar adecuadamente los tamaños de búfer.


  • En la implementación de Portable/Intel SDK serían: CVE-2012-5958, CVE-2012-5959, CVE-2012-5960, CVE-2012-5961, CVE-2012-5962, CVE-2012-5963, CVE-2012-5964 y CVE-2012-5965 afectando al parser SSDP.
        
  • En la implementación MiniUPnP, CVE-2013-0230 que afectaría al módulo SOAP y CVE-2013-0229 al parser SSDP.

Tras estos datos iniciales, los investigadores de Rapid7 (creadores de Metasploit) conjuntamente con Defensecode han seguido sus investigaciones y esta semana han presentado un listado parcial de los actuales modelos vulnerables:

Enlace a pastebin – Lista parcial de afectados:

También se ha facilitado una utilidad para poder comprobar los equipos afectados presentes en la red local:
ScanNow for Universal Plug and Play (UPnP)

Los fabricantes están realizando las actualizaciones oportunas de sus firmwares con nuevas versiones de las implementaciones UPnP que ya no se ven afectadas, como el caso de TP-Link y su modelo TD-W8960N (firmware disponible, ver enlace más abajo). Aunque como medida general y preventiva se recomienda desactivar UPnP en aquellos dispositivos críticos expuestos a Internet.

Más información:

Security Flaws in Universal Plug and Play: Unplug, Don't Play

DC-2013-01-003 Broadcom UPnP Remote Preauth Root Code Execution
Vulnerability

Cisco Security Advisory: Portable SDK for UPnP Devices Contains Buffer Overflow Vulnerabilities

Fixed a critical vulnerability issue related to UPnP. Model : TD-W8960N. Hardware Version: V4

Vulnerability Note VU#922681. Portable SDK for UPnP Devices (libupnp) contains multiple buffer overflows in SSDP



José Mesa Orihuela

2 comentarios:

  1. Tengo dos preguntas, por favor, por si alguien sabe responderlas:
    - ¿Qué porcentaje de routers viene con UPnP activado por defecto? ¿Y de otros dispositivos, como impresoras de red?
    - En el caso de los routers DD-WRT ¿existe esta vulnerabilidad? Todo lo que he visto en la lista de más arriba es una referencia a un modelo DD-WRT de LinkSys. ¿Qué ocurre con la versión genérica de firmware DD-WRT descargable de su sitio web?

    ResponderEliminar
  2. DD-WRT suele mantenerse al día en sus librerías, y en este caso parece no verse afectada por la vulnerabilidad:
    http://www.dd-wrt.com/phpBB2/viewtopic.php?t=167900&sid=232af7d1beaa18650f417a74ec01d6a5

    De todas maneras puedes utilizar la herramienta de Rapid7 para comprobar si tienes algún dispositivo afectado.

    ResponderEliminar