UPnP sta per "Universal Plug and Play". Usando UPnP, un'applicazione può automaticamente inoltrare una porta sul router, risparmiando il fastidio di inoltrare le porte manualmente. Analizzeremo i motivi per cui le persone consigliano di disabilitare UPnP, in modo da poter avere una visione chiara dei rischi per la sicurezza.
Credito immagine: comedy_nose su Flickr
Il malware sulla tua rete può utilizzare UPnP
Un virus, un cavallo di Troia, un worm o un altro programma dannoso che riesce a infettare un computer sulla rete locale può utilizzare UPnP, proprio come i programmi legittimi. Mentre un router normalmente blocca le connessioni in ingresso, impedendo un accesso malevolo, UPnP potrebbe consentire a un programma dannoso di bypassare completamente il firewall. Ad esempio, un cavallo di Troia potrebbe installare un programma di controllo remoto sul computer e aprirne un buco nel firewall del router, consentendo l'accesso 24/7 al computer da Internet. Se UPnP era disabilitato, il programma non poteva aprire la porta, anche se poteva bypassare il firewall in altri modi e telefonare a casa.
Questo è un problema? Sì. Non c'è modo di aggirarlo: UPnP presuppone che i programmi locali siano affidabili e che consentano loro di inoltrare le porte. Se il malware non è in grado di inoltrare le porte è importante per te, ti consigliamo di disabilitare UPnP.
L'FBI ha detto alle persone di disabilitare UPnP
Verso la fine del 2001, il Centro nazionale per la protezione dell'infrastruttura dell'FBI ha consigliato a tutti gli utenti di disabilitare UPnP a causa di un buffer overflow in Windows XP. Questo bug è stato corretto da una patch di sicurezza. Il NIPC in realtà emise una correzione per questo consiglio più tardi, dopo aver compreso che il problema non era in UPnP stesso. (Fonte)
Questo è un problema? No. Mentre alcune persone potrebbero ricordare la consulenza del NIPC e avere una visione negativa di UPnP, questo consiglio è stato fuorviato al momento e il problema specifico è stato risolto da una patch per Windows XP oltre dieci anni fa.
L'attacco Flash UPnP
UPnP non richiede alcun tipo di autenticazione da parte dell'utente. Qualsiasi applicazione in esecuzione sul tuo computer può chiedere al router di inoltrare una porta su UPnP, motivo per cui il malware sopra può abusare di UPnP. Si può presumere che tu sia sicuro fino a quando nessun malware è in esecuzione su nessun dispositivo locale, ma probabilmente hai torto.
Flash UPnP Attack è stato scoperto nel 2008. Un'applet Flash appositamente predisposta, in esecuzione su una pagina Web all'interno del browser Web, può inviare una richiesta UPnP al router e chiedere di inoltrare le porte. Ad esempio, l'applet potrebbe chiedere al router di inoltrare le porte 1-65535 sul computer, esponendole in modo efficace all'intera Internet. L'utente malintenzionato dovrebbe sfruttare una vulnerabilità in un servizio di rete in esecuzione sul computer dopo averlo fatto, tuttavia l'utilizzo di un firewall sul computer aiuterà a proteggerti.
Sfortunatamente, peggiora: su alcuni router, un'applet Flash può cambiare il server DNS primario con una richiesta UPnP. Il port forwarding sarebbe l'ultima delle tue preoccupazioni: un server DNS dannoso potrebbe reindirizzare il traffico verso altri siti web. Ad esempio, potrebbe puntare interamente su Facebook.com su un altro indirizzo IP: la barra degli indirizzi del browser Web direbbe Facebook.com, ma si utilizzerebbe un sito Web creato da un'organizzazione malintenzionata.
Questo è un problema? Sì. Non riesco a trovare alcun tipo di indicazione che questo è stato mai risolto. Anche se fosse stato risolto (sarebbe difficile, dato che questo è un problema con il protocollo UPnP stesso), molti router più vecchi ancora in uso sarebbero vulnerabili.
Cattive implementazioni UPnP sui router
Il sito Web di UPnP Hacks contiene un elenco dettagliato dei problemi di sicurezza nel modo in cui i diversi router implementano UPnP. Questi non sono necessariamente problemi con UPnP stesso; sono spesso problemi con le implementazioni UPnP. Ad esempio, molte implementazioni UPnP dei router non controllano correttamente l'input. Un'applicazione dannosa potrebbe chiedere a un router di reindirizzare la rete su indirizzi IP remoti su Internet (anziché su indirizzi IP locali) e il router sarebbe conforme. Su alcuni router basati su Linux, è possibile sfruttare UPnP per eseguire comandi sul router. (Fonte) Il sito web elenca molti altri problemi di questo tipo.
Questo è un problema? Sì! Milioni di router in natura sono vulnerabili. Molti produttori di router non hanno fatto un buon lavoro nel mettere in sicurezza le loro implementazioni UPnP.
Dovresti disabilitare UPnP?
Quando ho iniziato a scrivere questo post, mi aspettavo di concludere che i difetti di UPnP fossero abbastanza lievi, una semplice questione di scambiare un po 'di sicurezza per una certa comodità. Sfortunatamente, sembra che UPnP abbia molti problemi. Se non si utilizzano applicazioni che richiedono il port forwarding, come le applicazioni peer-to-peer, i server di gioco e molti programmi VoIP, è meglio disattivare completamente UPnP. Gli utenti pesanti di queste applicazioni vorranno considerare se sono disposti a rinunciare alla sicurezza per la comodità. È ancora possibile inoltrare le porte senza UPnP; è solo un po 'più di lavoro. Controlla la nostra guida al port forwarding.
D'altra parte, questi difetti del router non vengono utilizzati attivamente in natura, quindi l'effettiva possibilità che si verifichino software dannosi che sfruttino difetti nell'implementazione UPnP del router è piuttosto bassa. Alcuni malware utilizzano UPnP per inoltrare le porte (ad esempio il worm Conficker), ma non ho trovato un esempio di malware che sfrutta questi difetti del router.
Come posso disabilitarlo? Se il tuo router supporta UPnP, troverai un'opzione per disabilitarlo nella sua interfaccia web. Consultare il manuale del router per ulteriori informazioni.
Non sei d'accordo sulla sicurezza di UPnP? Lascia un commento!
