Une faille permet d’enrôler les appareils accessibles par Internet dans des attaques DDoS et de scanner les réseaux internes. Un patch est disponible, mais il mettra du temps à être installé partout.
Le chercheur en sécurité Yunus Çadirci vient de révéler une importante faille dans le protocole Universal Plug & Play (UPnP), qui facilite l’interconnexion de millions de systèmes : des PC Windows, des consoles Xbox, des téléviseurs connectés, des routeurs, des imprimantes, des objets connectés, etc. Baptisée « CallStranger », elle se situe dans la fonction « Subscribe » du protocole et permet à un attaquant « d’envoyer du trafic à des destinations arbitraires », peut-on lire dans une alerte de sécurité.
Les conséquences peuvent être multiples. Pour un particulier, le principal risque est qu’un appareil vulnérable et accessible sur Internet soit enrôlé dans un botnet pour réaliser des attaques DDoS. Mais la faille pourrait également servir de tremplin pour une attaque, car un pirate pourrait s’en servir pour scanner les ports d’un réseau interne. Enfin, un attaquant qui s’est déjà introduit dans un réseau informatique pourrait s’appuyer sur un appareil UPnP vulnérable pour exfiltrer des données sensibles sans alerter les administrateurs système.
Plus de 5,4 millions d’appareils vulnérables et accessibles sur Internet
Une mise à jour du protocole est d’ores et déjà disponible auprès de l’organisme Open Connectivity Foundation, qui est responsable de ce standard. Mais, forcément, elle mettra du temps à être intégrée dans tous les appareils vulnérables. En attendant, il faut veiller à ce que ces derniers ne soient pas accessibles par Internet. Selon le moteur de recherche Shodan.io, plus de 5,4 millions le sont actuellement. Une véritable aubaine pour les gérants de botnets. Yunus Çadirci a mis en ligne un script Python sur GitHub qui permet de détecter les appareils vulnérables dans un réseau local.
source : 01net