IoT-устройства с уязвимыми UPnP ставят безопасность под угрозу

Ранее в этом году неизвестные засыпали пользователей Chromecast, Google Home и смарт-телевизоров спам-сообщениями с призывом подписаться на YouTube-канал видеоблогера PewDiePie. Согласно отчету исследователей TrendMicro, спамеры, очевидно, воспользовались некорректной конфигурацией маршрутизаторов с включенным сервисом Universal Plug and Play (UPnP).

Многие устройства «Интернета вещей» (IoT) используют UPnP для автоматического обнаружения, проверки и связи с другими устройствами в одной с ними локальной сети. UPnP существенно упрощает жизнь, но в то же время добавляет дополнительные угрозы безопасности.

С помощью бесплатных инструментов для сканирования IoT-устройств исследователи TrendMicro обнаружили, что на гаджетах пользователей по-прежнему активирован UPnP. По состоянию на январь 2019 года сервис был включен на 76% маршрутизаторов, 27% медиа-устройств (DVD-проигрывателях, стриминговых устройств и пр.) и 19% игровых консолей.

Злоумышленники могут превратить уязвимые реализации UPnP в прокси для обфускации ботнетов, а также в ботов для осуществления DDoS-атак и рассылки спама. Ярким примером является ботнет Satori, операторы которого эксплуатируют уязвимость в Realtek SDK miniigd, использующемся в интерфейсе UPnP SOAP (CVE-2014-8361). Уязвимость, позволяющая внедрять команды, была исправлена в мае 2015 года, однако на многих устройствах по-прежнему используются устаревшие уязвимые версии UPnP.