UPnP esposto sull'interfaccia WAN: tanti utenti si ritrovano porte aperte in ingresso

Come abbiamo più volte osservato, UPnP (Universal Plug and Play) non è un protocollo progettato per essere esposto sull’interfaccia WAN. Esso è infatti intrinsecamente insicuro: non permette di impostare password, non autentica gli utenti, non utilizza alcun algoritmo crittografico. Non dovrebbe quindi mai essere utilizzabile da parte di utenti remoti: UPnP, almeno 1,6 milioni di dispositivi espongono il protocollo sulla rete Internet. I rischi.

Nell’articolo Router, le operazioni da fare per renderlo sicuro abbiamo visto che uno degli interventi migliori da applicare consiste nella disattivazione di UPnP dal pannello di amministrazione del router.
Talvolta, però, ciò non è sufficiente perché alcuni modelli di router – basati su firmware contenenti bug di sicurezza – pur permettendo la disabilitazione del protocollo UPnP lato LAN, continuano e esporlo sulla rete Internet.

Nelle ultime settimane, anche in Italia, tanti utenti hanno segnalato la comparsa di regole di inoltro del traffico (port forwarding) mai create in precedenza (Port forwarding, cos’è e qual è la differenza con il port triggering).
In particolare, viene segnalata la presenza di una o più regole descritte come “Galleta silenciosa” ovvero Cookie silenzioso.

Si tratta dell’aggiunta di regole arbitrarie da parte di criminali informatici che, effettuando una scansione di gruppi di indirizzi IP pubblici, sfruttano le vulnerabilità nell’implementazione del protocollo UPnP su alcuni router per attivare l’inoltro del traffico in ingresso verso gruppi di indirizzi IP privati sulla rete locale.

Al momento gli aggressori cercano di prendere di mira le vulnerabilità presenti in Windows e corrette a suo tempo da parte di Microsoft con il rilascio di appositi aggiornamenti di sicurezza. La falla più importante (EternalBlue) è quella relativa al protocollo SMBv1 per la condivisione dei file sui sistemi Windows risolta dall’azienda di Redmond quasi due anni fa ma purtroppo ancora presente in diverse macchine: Verificare se i sistemi sono attaccabili da WannaCry e NotPetya.
Altre falle sono state successivamente scoperte nell’implementazione del protocollo SMB.

Sfruttando l’esposizione di UPnP sulla rete Internet, gli aggressori possono così provare ad aggredire l’intera rete locale altrui bersagliando dapprima quei sistemi sui quali gli utenti non hanno installato le patch di sicurezza Microsoft.

Il consiglio è quello di accedere al pannello di amministrazione del router e controllare su quali porte fosse stato eventualmente attivato l’inoltro del traffico. Nel caso in cui si dovessero rilevare regole mai create, si dovrà immediatamente provvedere alla loro eliminazione disattivando UPnP e verificando sul sito web del produttore la disponibilità di una nuova versione del firmware che permetta di risolvere il problema di sicurezza: vedere Router, le operazioni da fare per renderlo sicuro. Se non fossero disponibili nuove versioni del firmware, è bene provvedere immediatamente alla sostituzione del router.