Zadaniem UPnP jest zapewnienie urządzeniom obsługującym sieć - np. routerom, drukarkom, serwerom multimedialnym, komputerom, kamerom IP itp. - możliwości szybkiego podłączenia się do lokalnych zasobów i łatwego współdzielenia plików, połączeń itp.

Funkcja ta stworzona została przede wszystkim z myślą o zastosowaniu w lokalnych sieciach - specjaliści z Rapid7 dowiedli jednak, że do wielu takich urządzeń można uzyskać nieautoryzowany dostęp za pośrednictwem Internetu. Podczas testów prowadzonych w ubiegłym roku pracownicy Rapid7 znaleźli ponad 80 mln publicznych adresów IP, które odpowiedziały na próby wykrycia połączeń UPnP. Ok. 20% z nich - czyli 17 mln - powiązanych było z urządzeniami, które udostępniały w sieci usługi UPnP SOAP (Simple Object Access Protocol), umożliwiające nawiązanie połączenia z urządzeniem nawet jeśli znajduje się ono za firewallem.

Zobacz również:

• Microsoft i Quantinuum twierdzą, że otworzyły nowy rozdział w rozwoju komputerów kwantowych

Dalsze analizy zgłoszeń pozwoliły m.in. na określenie dokładnego modelu danego urządzenia oraz wersji zainstalowanych w nim bibliotek UPnP. W ponad 1/4 przypadków była to biblioteka Portable UPnP SDK, w której znajduje się 8 znanych błędów w zabezpieczeniach (dwa z nich pozwalają na zdalne uruchomienie kodu). "Te błędy zostały co prawda załatane w kolejnym wydaniu biblioteki, ale proces aktualizacji takiego oprogramowania jest bardzo powolny, co czyni je podatnym na ataki" - tłumaczy HD Moore, szef działu bezpieczeństwa firmy Rapid7.

"W sumie zidentyfikowaliśmy ponad 6,9 tys. modeli różnych urządzeń, które podatne są na atak przeprowadzony za pośrednictwem błędów w implementacji UPnP. Wśród nich znalazły się m.in. produkty firm Belkin, Cisco, Netgear, D-Link oraz Asus" - wyjaśnia Moore.

Specjalista podkreśla, że wiele z tych urządzeń nie jest już dostępnych w sprzedaży - ale to nie znaczy, że nie są powszechnie używane (jako, że sprzęt sieciowy nie jest czymś, co typowy użytkownik wymienia zbyt często). Problem jest tym większy, że w wielu przypadkach producenci nie aktualizują już takich urządzeń - a to sprawia, że nie ma co liczyć na załatanie błędów.

"Wyniki analiz przeprowadzonych przez Rapid7 pokazują, że wiele firm wciąż nie pojęło podstawowych zasad tworzenia bezpiecznego oprogramowania. Urządzenia, które mają być podłączone do Internetu nie powinny mieć domyślnie "wystawionych" na zewnątrz usług, które stworzone zostały z myślą o wykorzystywaniu wyłącznie wewnątrz lokalnej sieci" - komentuje Thomas Kristensen, szef ds. bezpieczeństwa firmy Secunia.

Więcej informacji na temat problemu - w tym m.in. listę dziurawych bibliotek oraz narzędzie do sprawdzania podatności - znaleźć można na stronie Rapid7.