Datatyveri er lukrativ virksomhet, og har vært det lenge. Det er derfor nettkriminelle tjener milliarder dollar per år ved å stjele og selge personlige data som navn, kredittkortdetaljer og helseregistre. De bruker forskjellige verktøy og teknikker for å bryte IT-nettverk, og en UPnP-feil er en av de siste som får oppmerksomhet fra National Institute of Standards and Technology (NIST).
Hvordan hackere kan utnytte UPnP-feilen for å exfiltrere data
Nylig oppdaterte NIST National Vulnerability Database (NVD) med informasjon om Universal Plug and Play-protokollutnyttelsen (CVE-2020-12695). Organisasjonen analyserer den for tiden.
Feilen, kalt CallStranger, har eksistert siden 2019 da en cybersikkerhetsforsker rapporterte det (via Bleeping Computer).
Ideelt sett bør UPnP være en praktisk måte for enheter å registrere hverandres tilstedeværelse på nettverket ditt. Windows 10-PCer, rutere, skrivere og Wi-Fi-tilgangspunkter er noen av gadgetene som kan bruke nettverksteknologien.
Vanligvis er ingen autentisering nødvendig for at disse enhetene skal oppdage hverandre via UPnP. Videre er de vanligvis en del av et lokalt, pålitelig nettverk.
Det ville ikke være et problem bortsett fra muligheten for hackere som utnytter sårbarheten CVE-2020-12695 i UPnP. Med andre ord kan en ondsinnet skuespiller søke etter tilkoblingsportene og bruke dem til å få tilgang til en enhet.
For eksempel kan en angriper eksternt utnytte UPnP-feilen for å oppdage en Windows 10-PC som er koblet til nettverket ditt. Når det gjelder CallStranger, kan skadelig programvare forhindre alt datatapforebygging og nettverkssikkerhetstiltak på plass.
På denne måten kan den dårlige skuespilleren enkelt få tilgang til og stjele data som er lagret på PC-en din. Dessverre er det ikke den eneste IT-risikoen.
CallStranger kan også distribueres eksternt i et DDoS-angrep (Distribuert Denial of Service). Hackere kan også bruke den til å skanne interne nettverk.
Har du hatt noen erfaring med UPnP-feilen? Del den gjerne (eller still spørsmål) i kommentarfeltet nedenfor.
- Cybersikkerhet