Ieri la compagnia di sicurezza Rapid7, ha presentanto uno studio realizzato da HD Moore (autore di Metasploit), che rivela che circa 50 milioni di PC sono a rischio attacco.
Lo studio si basa su una ricerca durata sei mesi, durante i quali gli esperti di Rapid7 hanno scandagliato Internet alla ricerca di dispositivi con la funzione UPnP attiva. Degli 80 milioni di PC trovati, i ricercatori hanno identificato 50 milioni di obiettivi potenzialmente vulnerabili ad almeno una delle vulnerabilità testate.
Il protocollo UPnP è un protocollo ideato per far comunicare in maniera semplice e trasparente per l’utente dispositivi diversi, come router, telecamere digitali, media server. Le tre vulnerabilità verificate consentono ad un attacker di mandare in crash un sistema, o peggio ancora di prendere il pieno controllo da remoto.
Alcuni numeri chiave estratti dal dal report:
- 2.2% degli indirizzi Ipv4 di Internet risponde ad una interrogazione UPnP
- 81 milioni di indirizzi IP unici rispondo a queste richieste
- 20% di questi sistemi espongono il servizio tramite API SOAP, rendendo possibile l’attacco anche attraverso un firewall
- 73% di tutti i dispositivi UPnP è sviluppato con 4 toolkit
- 23 milioni di sistemi appaiono vulnerabili ad un attacco di esecuzione remota di codice arbitrario
La cosa interessante è che basta un pacchetto UDP spoofato (con lindirizzo IP falsificato) per sferrare l’attacco remoto, cosa che rende l’azione assai dinamica e virtualmente irrintracciabile.
Rapid7 mette a disposizione un tool gratuito per verificare la presenza nella propria rete di dispositivi vulnerabili. Per utilizzarlo basta scaricarlo da questo link e seguire le istruzioni a video.
La natura e la diffusione di questa vulnerabilità, rende assai probabile la comparsa a breve di worm, probabilmente finalizzati ad alimentare botnet esistenti, o a crearne di nuove.