UPNP协议存在严重安全漏洞 ，攻击者可劫持智能设备发起DDoS攻击

研究人员在物联网核心协议——UPNP协议中发现一个严重的安全漏洞——CallStranger，漏洞CVE编号为CVE-2020-12695。CallStranger 漏洞位于数十亿UPNP（Universal Plug and Play，通用即插即用）设备中，可以用来窃取数据或扫描内部网络，攻击者利用该漏洞可以劫持智能设备发起DDoS攻击，还可以绕过安全解决方案对受害者内部网络进行扫描。

UPnP特征允许设备在本地网络中可以看到对方，然后建立连接来交换数据、配置、和进行同步。UPnP 大约是2000年初引入的，但从2016年开始，其开发就由Open Connectivity Foundation (OCF)来进行管理的。

CVE-2020-12695漏洞分析

漏洞是由UPnP SUBSCRIBE 函数中的Callback header 值引发的，有点类似SSRF漏洞，影响数百万联网的局域网设备。攻击者利用该漏洞可以：

· 绕过DLP和网络安全设备来窃取数据；

· 使用数百万联网的UPnP 设备作为源来发起放大反射型TCP DDoS攻击；

· 利用联网的UPnP设备来扫描网络内部接口。

由于是协议漏洞，因此厂商可能需要花费一段时间来开发补丁。OCF在4月17日更新了UPnP的说明文档来修复该漏洞，最新说明文档参见https://openconnectivity.org/upnp-specs/UPnP-arch-DeviceArchitecture-v2.0-20200417.pdf

漏洞影响

漏洞的实际影响

研究人员认为数据窃取可能是CallStranger漏洞最大的现实威胁。可以通过检查日志的方式来查看是否之前已经受到攻击者的攻击。

因为该漏洞也可以被用来发起DDoS攻击，研究人员猜测僵尸网络攻击者近期会开始利用该漏洞将终端用户设备纳入到僵尸网络中。

代码执行漏洞？

该漏洞确实与代码执行有关。研究人员在有些设备上发现了缓冲区溢出的问题，但这并不在本研究的范围之内。

受影响的设备

由于该漏洞是协议漏洞，几乎所有的UPnP设备都受到该漏洞的影响，包括数十亿本地网络中的UPnP设备和数百万联网的UPnP设备。可以通过以下工具来检查是否受到该漏洞的影响，参见https://github.com/yunuscadirci/CallStranger

受影响的设备既包括Windows Xbox，电视和路由器也受到该漏洞的影响。

确认受影响的设备有：

· Windows 10 (所有 windows 版本) - upnphost.dll 10.0.18362.719

· Xbox One- OS Version 10.0.19041.2494

· ADB TNR-5720SX Box (TNR-5720SX/v16.4-rc-371-gf5e2289 UPnP/1.0 BH-upnpdev/2.0)

· Asus ASUS Media Streamer

· Asus Rt-N11

· Belkin WeMo

· Broadcom ADSL Modems

· Canon Canon SELPHY CP1200 Printer

· Cisco X1000 - (LINUX/2.4 UPnP/1.0 BRCM400/1.0)

· Cisco X3500 - (LINUX/2.4 UPnP/1.0 BRCM400/1.0)

· D-Link DVG-N5412SP WPS Router (OS 1.0 UPnP/1.0 Realtek/V1.3)

· EPSON EP, EW, XP Series (EPSON_Linux UPnP/1.0 Epson UPnP SDK/1.0)

· HP Deskjet, Photosmart, Officejet ENVY Series (POSIX, UPnP/1.0, Intel MicroStack/1.0.1347)

· Huawei HG255s Router - Firmware HG255sC163B03 (ATP UPnP Core)

· NEC AccessTechnica WR8165N Router ( OS 1.0 UPnP/1.0 Realtek/V1.3)

· Philips 2k14MTK TV - Firmware TPL161E_012.003.039.001

· Samsung UE55MU7000 TV - Firmware T-KTMDEUC-1280.5, BT - S

· Samsung MU8000 TV

· Siemens CNE1000 Camera

· Sony Media Go Media application

· Stream What You Hear Stream What You Hear

· Toshiba TCC-C1 Media Device

· TP-Link Archer C50

· Trendnet TV-IP551W

· Ubiquiti UniFi Controller

· ZTE ZXV10 W300

· ZTE H108N

· Zyxel AMG1202-T10B

待外部（厂商）确认的受影响的设备有：

· Dell B1165NFW

· LG Smartshare Media Application

· Netgear WNHDE111 Access Point

· Nokia HomeMusic Media Device

· Panasonic BB-HCM735 Camera

· Panasonic VL-MWN350 wireless doorphone

· Plutinosoft Dynamic UPnP stack

· Ruckus Zone Director Access Point

漏洞PoC代码参见：https://github.com/yunuscadirci/CallStranger