Datatyveri er lukrativ forretning og har været det i lang tid. Derfor tjener cyberkriminelle milliarder dollars om året ved at stjæle og sælge personlige data som navne, kreditkortoplysninger og sundhedsregistreringer. De bruger forskellige værktøjer og teknikker til at bryde it-netværk, og en UPnP-fejl er en af de nyeste, der får opmærksomhed fra National Institute of Standards and Technology (NIST).
Hvordan hackere kan udnytte UPnP-bugten til at exfiltrere data
For nylig opdaterede NIST National Vulnerability Database (NVD) med oplysninger om Universal Plug and Play-protokoludnyttelsen (CVE-2020-12695). Organisationen analyserer den i øjeblikket.
Fejlen, der hedder CallStranger, har eksisteret siden 2019, da en cybersikkerhedsforsker rapporterede det (via Bleeping Computer).
Ideelt set bør UPnP være en bekvem måde for enheder at registrere hinandens tilstedeværelse på dit netværk. Windows 10-pc'er, routere, printere og Wi-Fi-adgangspunkter er nogle af de gadgets, der muligvis bruger netværksteknologien.
Normalt er ingen godkendelse nødvendig for at disse enheder kan opdage hinanden via UPnP. Desuden er de normalt en del af et lokalt, pålideligt netværk.
Det ville ikke være et problem bortset fra muligheden for hackere, der udnytter CVE-2020-12695-sårbarheden i UPnP. Med andre ord kan en ondsindet skuespiller scanne efter forbindelsesportene og bruge dem til at få adgang til en enhed.
For eksempel kan en angriber eksternt udnytte UPnP-bugten til at opdage en Windows 10-pc, der er forbundet til dit netværk. I tilfælde af CallStranger kan malware undgå al datatabsprevention og netværkssikkerhedsforanstaltninger på plads.
På denne måde kan den dårlige skuespiller let få adgang til og stjæle data, der er gemt på din pc. Desværre er det ikke den eneste it-risiko.
CallStranger kan også distribueres eksternt i et DDoS-angreb (Distribueret Denial of Service). Hackere kunne også bruge det til at scanne interne netværk.
Har du haft nogen erfaring med UPnP bug? Del det gerne (eller still spørgsmål) i kommentarfeltet nedenfor.
- Cybersikkerhed