Publicerad: 2020-06-09 13:04

Allvarlig sårbarhet i UPnP-enheter

Det rapporteras om en ny allvarlig sårbarhet som går under namnet CallStranger [1, 2]. Sårbarheten omfattar troligen åtminstone en miljard internetanslutna enheter som stödjer UPnP (Universal Plug and Play) [3].

Sårbarheten kan leda till ett antal olika typer av angrepp, bland annat förlust av data eller att enheter kapas och blir del av ett botnet för att utföra DDoS-attacker. Sårbarheten har fått CVE-nummer CVE-2020-12695 [5].

Utvecklare av system och enheter rekommenderas att uppdatera enligt nya riktlinjer för att undvika sårbarheten [4].

Uppgifterna är än så länge inte helt fullständiga. CERT-SE avser att uppdatera artikeln så snart ytterligare information finns tillgänglig.

Sårbara system

Nedanstående system och enheter är bekräftat sårbara, men troligen gäller det ytterligare system och utrustning.

Windows 10 (All windows versions) - upnphost.dll 10.0.18362.719
Xbox One- OS Version 10.0.19041.2494
ADB TNR-5720SX Box (TNR-5720SX/v16.4-rc-371-gf5e2289 UPnP/1.0 BH-upnpdev/2.0)
Asus ASUS Media StreamerAsus Rt-N11
Belkin WeMoBroadcom ADSL Modems
Canon Canon SELPHY CP1200 PrinterCisco X1000 - (LINUX/2.4 UPnP/1.0 BRCM400/1.0)
Cisco X3500 - (LINUX/2.4 UPnP/1.0 BRCM400/1.0)
D-Link DVG-N5412SP WPS Router (OS 1.0 UPnP/1.0 Realtek/V1.3)
EPSON EP, EW, XP Series (EPSON_Linux UPnP/1.0 Epson UPnP SDK/1.0)
HP Deskjet, Photosmart, Officejet ENVY Series (POSIX, UPnP/1.0, Intel MicroStack/1.0.1347)
Huawei HG255s Router - Firmware HG255sC163B03 (ATP UPnP Core)
NEC AccessTechnica WR8165N Router (OS 1.0 UPnP/1.0 Realtek/V1.3)
Philips 2k14MTK TV - Firmware TPL161E_012.003.039.001
Samsung UE55MU7000 TV - Firmware T-KTMDEUC-1280.5, BT - S
Samsung MU8000 TV
Siemens CNE1000 Camera
Sony Media Go Media application
Stream What You Hear Stream What You Hear
Toshiba TCC-C1 Media Device
TP-Link Archer C50Trendnet TV-IP551W
Ubiquiti UniFi Controller
ZTE ZXV10 W300ZTE H108N
Zyxel AMG1202-T10B

Rekommendationer

CERT-SE rekommenderar att uppdatera sårbara enheter så snart uppdateringar finns tillgängliga. Dessutom rekommenderas att:

Se till att blockera UPnP i brandväggen om inte detta används internt. I dessa fall, tillåt endast specifika IP-adresser.
Blockera alla “SUBSCRIBE” samt “NOTIFY HTTP” i brandväggen för in- och utgående trafik.
Inaktivera UPnP i kameror, skrivare, routers och liknande utrustning om detta inte är absolut nödvändigt.
Ta bort utrustning som stödjer UPnP om dessa ej längre uppdateras regelbundet.

Källor

[1] http://callstranger.com/

[2] https://kb.cert.org/vuls/id/339275

[3] https://sv.wikipedia.org/wiki/UPnP

[4] https://openconnectivity.org/upnp-specs/UPnP-arch-DeviceArchitecture-v2.0-20200417.pdf

[5] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-12695

Kontakta oss - dygnet runt

CERT-SE är tillgängliga dygnet runt alla dagar på året för att kunna agera och inom vårt uppdrag hjälpa verksamheter som har drabbats av it-säkerhetsincidenter.

telefon

010-240 40 40

e-post

cert@cert.se

Fler nyheter

2025-04-25 15:00

CERT-SE:s veckobrev v.17

MSB har utifrån tre uppdrag från regeringen tagit fram Cybersäkerhetskollen, ett verktyg för ökad motståndskraft och...

Veckobrev
2025-04-25 14:25

Kritisk sårbarhet i SAP NetWeaver

SAP har publicerat en uppdatering som mitigerar en kritisk nolldagssårbarhet i SAP NetWeaver Visual Composer Metadata...

Sårbarhet SAP NetWeaver
2025-04-17 11:03

CERT-SE:s veckobrev v.16

I veckan har MITRE meddelat att finanseringen av CVE-databasen skulle upphöra. Senare har dock cybersäkerhetsmyndigheten CISA...

Veckobrev
2025-04-11 15:20

CERT-SE:s veckobrev v.15

Den senaste veckan har vi noterat flera parallella nätfiskekampanjer mot kommuner. Se till att vara extra...

Veckobrev
2025-04-11 09:48 Uppdaterad

Kritisk sårbarhet i Ivanti-produkter utnyttjas aktivt

I sin säkerhetsuppdatering för april rapporterar Ivanti att en kritisk sårbarhet som påverkar Connect Secure, Pulse...

Sårbarhet Ivanti Connect Secure Policy Secure Pulse Secure ZTA Gateways

Nyheter