Uma vulnerabilidade no protocolo Universal Plug and Play implementado em milhões de dispositivos pode ser explorada para roubar dados, transformar os dispositivos em bots para ataques distribuídos de negação de serviço (DDoS) e verificar redes internas. Na prática, todos os aparelhos que tem em casa podem estar em risco!
Alerta: todos os seus aparelhos podem estar em risco!
O bug ganhou o nome CallStranger e afeta todos os dispositivos que executam uma versão UPnP anterior a 17 de abril. Estão incluídas todas as versões do Windows 10, routers, pontos de acesso, impressoras, consolas de jogos, intercomunicadores, aplicações, câmaras, televisores e muito mais.
A porta de entrada para tudo isto é o universal Plug and Play (UPnP) . Na prática é usado para garantir a descoberta automática de dispositivos na rede e para interagir com eles. Destina-se a uso local numa rede de confiança, uma vez que não requer qualquer tipo de autenticação.
O CallStranger identificado como CVE-2020-12695 pode ser usado remotamente sem autenticação. Foi descoberto pelo investigador de segurança informática Yunus Çadirci e reportado à Open Connectivity Foundation (OCF) – a organização que atualmente desenvolve o UPnP – no dia 12 de dezembro de 2019.
Segundo o investigador, um invasor que explora o CallStranger pode ignorar dispositivos de segurança de rede e soluções de prevenção de perda de dados desenvolvidas para impedir o envio de informações críticas / confidenciais para fora da rede empresarial ou domésitca.
Apesar de já existirem patches para corrigir este problema, é improvável que a atualização de todos os dispositivos ocorra em breve, se é que alguma vez vai ocorrer. É que esta situação depende principalmente dos fornecedores para implementarem a correção e isso leva tempo. Além disso, muitos dispositivos podem já não ser suportados ou receber atualizações.
Ou seja, qualquer dispositivo pode estar em risco. A única forma de estar protegido é atualizar os equipamentos que o permitam e para os quais exista um update.
