Kerentanan dalam protokol UPnP (Universal Plug and Play) yang diimplementasikan dalam miliaran perangkat dapat dieksploitasi untuk mengekstrak data, mengubahnya menjadi bot untuk serangan distributed denial-of-service (DDoS), dan memindai jaringan internal.
Kerentanan ini dijuluki CallStranger dan itu mempengaruhi semua perangkat yang menjalankan versi UPnP lebih awal dari versi yang dirilis pada 17 April, termasuk semua versi Windows 10, router, titik akses, printer, konsol game, doorphone, aplikasi dan perangkat media, kamera, serta perangkat televisi.
Dampak kerentanan CallStanger UPnP
UPnP digunakan untuk menyediakan penemuan perangkat secara otomatis di jaringan dan untuk memberikan interaksi dengannya. Ini dimaksudkan untuk penggunaan lokal di jaringan tepercaya karena tidak ada otentikasi atau verifikasi di tempat.
CallStranger diidentifikasi sebagai CVE-2020-12695, ditemukan oleh peneliti keamanan Yunus Çadirci dan kerentanan ini dilaporkan ke Open Connectivity Foundation (OCF), organisasi yang saat ini mengembangkan UPnP, pada 12 Desember 2019.
Çadirci mengatakan bahwa penyerang dapat mengirim paket TCP ke perangkat jarak jauh yang berisi callback header value berbahaya dalam fungsi SUBSCRIBE UPnP.
Header tersebut dapat disalahgunakan untuk mengambil keuntungan dari perangkat pintar apa pun yang dibiarkan tersambung di internet, dan yang mendukung protokol UPnP – seperti kamera keamanan, DVR, printer, router, dan perangkat pintar lainnya.
Dalam serangan CallStranger, penyerang bisa secara efektif menargetkan antarmuka perangkat yang terhubung ke internet, mengeksekusi kode pada fungsi UPnP perangkat, yang biasanya berjalan hanya pada port dalam jaringan internal saja (di dalam LAN).
Çadirci mengatakan penyerang dapat mengeksploitasi CallStranger untuk mem-bypass keamanan jaringan, mem-bypass firewall, dan kemudian memindai jaringan internal.
Selain itu, dimungkinkan juga untuk jenis serangan lainnya, kata Çadirci.
Ini termasuk serangan DDoS di mana seorang penyerang dapat memperkuat lalu lintas TCP pada perangkat berkemampuan UPnP yang dapat dijangkau internet. Ini juga termasuk eksfiltrasi data di mana penyerang mencuri data dari perangkat berkemampuan UPnP yang terpapar internet.
Penerapan perbaikan akan memakan waktu
Meskipun perbaikan tersedia selama hampir dua bulan, memperbarui semua perangkat terdampak sepertinya tidak akan terjadi dalam waktu dekat. Ini terutama tergantung pada vendor untuk mengimplementasikan perbaikan dan ini membutuhkan waktu ketika berhadapan dengan kerentanan protokol. Selain itu, banyak perangkat mungkin sudah tidak mendapatkan dukungan atau sudah tidak menerima pembaruan.
Sementara ini, peneliti telah menerbitkan situs web CallStranger yang berisi saran dasar yang dapat digunakan untuk memblokir upaya eksploitasi.
Selain itu, Çadirci juga menerbitkan kode proof-of-concept yang dapat digunakan untuk memeriksa apakah perangkat pintar yang digunakan rentan terhadap serangan CallStranger atau tidak.
