UPnP (Universal Plug and Play) est un service qui permet aux appareils d'un même réseau local de se découvrir et de se connecter automatiquement via des protocoles réseau standards (tels que TCP/IP HTTP et DHCP). Quelques exemples d'appareils UPnP sont les imprimantes, les consoles de jeux, les appareils WiFi, les caméras IP, les routeurs, les appareils mobiles et les téléviseurs intelligents.
UPnP peut également modifier les paramètres du routeur pour ouvrir des ports sur un pare-feu afin de faciliter la connexion de périphériques en dehors d'un réseau.
Ce service réduit la complexité des périphériques réseau en transférant automatiquement les ports du routeur vers de nouveaux périphériques, éliminant ainsi les tracas liés au transfert manuel.
Mais cette commodité pourrait s’accompagner de risques de sécurité importants.
L'UPnP est-il sécurisé ?
Le service UPnP devient dangereux s'il établit des connexions avec des appareils infectés par des logiciels malveillants. Ces connexions rendent possibles les attaques DDoS.
Mais lorsque l’UPnP permet à des appareils sécurisés de se connecter, le réseau établi est sécurisé. Par conséquent, l’intention initiale de la technologie UPnP est la sécurité. Cela ne devient dangereux que lorsqu’il s’agit d’appareils infectés.
UPnP n'offre aucune configuration, ce qui signifie qu'aucune authentification humaine n'est requise pour établir une connexion. Les ports sont automatiquement transférés pour établir une connexion lorsqu'une requête UPnP est reçue. Avec un mécanisme de réseau aussi autonome et libéral, il est clair à quel point il est facile pour l’établissement de connexions infectées de devenir incontrôlable.
L’exploitation UPnP peut entraîner bien plus que la simple connexion d’un appareil infecté. Ce ne sont là que quelques exemples des actions malveillantes possibles avec UPnP :
- Connexion des ports internes au côté externe du routeur pour créer des passerelles (« trous ») à travers les pare-feu.
- Port qui transmet les détails de l'administration Web du routeur
- Redirection de port vers n'importe quel serveur externe situé sur votre surface ou sur le dark web.
- Modifiez les paramètres de votre serveur DNS afin qu'un site Web leurre soit chargé pour voler des informations d'identification au lieu de sites Web bancaires légitimes.
- Modifier les informations d'identification administratives
- Modifier les paramètres DPI
- Modifier les paramètres IP pour toutes les interfaces
- Modifier les paramètres Wi-Fi
- Modifier ou mettre fin aux connexions internes
Dois-je activer UPnP ?
Parce qu'il est très difficile de déterminer si une connexion potentielle pourrait faciliter une infection par un logiciel malveillant, la meilleure pratique de sécurité consiste à désactiver UPnP.
Si la redirection de port est une exigence essentielle (si vous utilisez des programmes VoIP, des applications peer-to-peer, des serveurs de jeux, etc.), il est préférable de rediriger manuellement chaque port pour avoir le contrôle de chaque connexion établie).
Par défaut, la plupart des nouveaux routeurs sont équipés de l'UPnP activé et de nombreux utilisateurs ignorent qu'ils courent un risque d'infection par un logiciel malveillant ou de violation de données.
Le graphique suivant indique le nombre d'appareils avec UPnP activé par rapport au nombre total d'appareils analysés dans chaque catégorie. Comme vous pouvez le constater, les routeurs courent le plus grand risque d’être ciblés par une attaque UPnP.
Si vous n'avez pas un besoin essentiel de la fonctionnalité UPnP, vous devez la désactiver.
L'UPnP est-il dangereux ?
Bien que le protocole UPnP soit sécurisé, il peut faciliter les connexions non sécurisées. Un protocole UPnP pourrait permettre aux appareils présentant des vulnérabilités critiques de se connecter à votre réseau et à vos ressources sensibles.
Le département américain de la Sécurité intérieure a exhorté toutes les entreprises à désactiver leur UPnP à la suite d'une cyberattaque en 2013 qui a touché des dizaines de millions d'appareils. Même si c'était il y a environ 8 ans, les cyberattaques liées à l'UPnP sont encore détectées aujourd'hui.
Pour éviter que ces types de connexions infectieuses ne se produisent, l'ensemble de la surface d'attaque associée à une connexion UPnP doit être maintenue à jour avec les derniers correctifs. Cela inclut les routeurs, les pare-feu, les logiciels antivirus et tous les appareils IoT (Internet des objets) qui seront connectés.
Le National Institute of Standards and Technology (NIST) héberge une liste continuellement mise à jour des expositions à des vulnérabilités courantes (CVE) pour les appareils et solutions logicielles populaires. Les équipes de sécurité doivent consulter périodiquement cette liste pour être au courant de toute nouvelle exigence de correctif affectant les connexions UPnP existantes ou potentielles.
La base de données nationale sur les vulnérabilités du NIST est accessible ici.
Plus de détails sur les vulnérabilités UPnP spécifiques sont disponibles sur le site Web de l'Université Carnegie Mellon.
Si malgré les risques très réels, vous souhaitez toujours laisser UPnP activé, consultez les spécifications de sécurité UPnP mises à jour décrites par l'Open Connectivity Framework.
Comment désactiver UPnP
Le processus de désactivation de l'UPnP est unique pour chaque routeur. Effectuez une recherche en ligne d'instructions pour votre routeur spécifique.
Recherchez la phrase suivante sur Google :
Comment désactiver UPnP pour [your router name]
Le processus général est le suivant :
- Saisissez l'adresse IP de votre routeur (réseau domestique) comme URL dans un navigateur Web et appuyez sur Entrer dans. Si vous ne connaissez pas l'adresse IP de votre routeur, suivez les instructions de cet article.
- Sélectionner Avancé puis cliquez sur Transfert NAT.
- Désactivez la connectivité UPnP.
UPnP doit également être bloqué sur la passerelle Internet pour empêcher les appareils non autorisés d'accéder aux ports 1900/UDP et 2869/TCP (pour Windows). Pour maximiser la sécurité, tous les ports doivent être bloqués, à l'exception de ceux nécessaires au fonctionnement de l'entreprise ; Généralement, le port 80/TCP est utilisé quotidiennement.
Comment les cyberattaquants peuvent-ils tirer parti de l’UPnP ?
En général, les politiques de sécurité des routeurs sont assez efficaces pour bloquer les connexions externes hostiles, et un pare-feu mis à jour augmente cette résilience. Mais UPnP est capable de surmonter ces barrières de sécurité en permettant aux appareils non autorisés de « percer » les politiques de pare-feu pour établir des connexions malveillantes persistantes.
Une telle attaque commence par l’injection d’un logiciel malveillant, généralement produite par le biais d’une campagne de phishing. Une fois qu'un cheval de Troie (ou un ver) est installé clandestinement, il contourne le pare-feu du routeur pour établir une porte dérobée cachée permettant aux cybercriminels d'accéder à distance 24h/24 et 7j/7.
Les portes dérobées peuvent passer inaperçues pendant plusieurs mois, ce qui laisse aux cyberattaquants suffisamment de temps pour causer de nombreux dégâts.
Les acteurs malveillants peuvent effectuer les opérations suivantes via une porte dérobée de serveur Web.
Exemples de cyberattaques UPnP
Depuis l'invention du Plug and Play universel en 1999, les problèmes de sécurité de cette technologie suscitent de plus en plus d'inquiétudes. Le FBI a même émis un avertissement officiel concernant les vulnérabilités potentielles de la technologie UPnP et des appareils IoT.
Ces avertissements ont été corroborés par les nombreuses cyberattaques rendues possibles par la technologie UPnP.
Voici quelques cyberattaques célèbres liées à l’UPnP :
Attaque flash UPnP
Découverte pour la première fois en 2008, l'attaque UPnP Flash est un type de cyberattaque qui s'exécute de manière autonome lorsqu'un utilisateur interagit avec un fichier SWF malveillant (une applet Flash spécialement conçue) s'exécutant sur une page Web.
Cette action déclenche une attaque pass-through silencieuse en arrière-plan où le routeur de la victime redirige ses ports, exposant ainsi ses connexions à l'ensemble d'Internet.
Bien que le nom puisse laisser entendre le contraire, les attaques Flash UPnP ne sont associées à aucune vulnérabilité Flash.
Un pare-feu activé et à jour vous donnera les meilleures chances de vous défendre contre les attaques Flash UPnP, même si cela n'est pas garanti.
Attaque du botnet Mirai
En 2016, des cybercriminels ont lancé une attaque colossale par déni de service (DDoS) en compromettant un réseau d'appareils IoT (principalement des caméras de vidéosurveillance) via la technologie UPnP. La cyberattaque a été si importante qu’elle a provoqué une panne d’Internet sur la majeure partie de la côte Est des États-Unis.
Attaques de Pinkslipbots
Le cheval de Troie bancaire Pinkslipbot, également connu sous les noms de Qakbot et QBot, profite de l'UPnP pour infecter ses victimes. Les machines infectées sont ensuite utilisées comme proxys HTTPS pour surveiller les serveurs et masquer les activités malveillantes en cours.
Le malware Plinkslipbot vole les informations d'identification bancaires des institutions financières américaines via des attaques d'homme dans le navigateur et des voleurs de mots de passe.
Cette famille de malwares a été découverte pour la première fois à la fin des années 2000 et est toujours active aujourd’hui.
Réduisez vos risques de violation de données avec UpGuard
La solution de gestion des surfaces d'attaque d'UpGuard analyse les surfaces d'attaque internes et tierces à la recherche de vecteurs négligés qui pourraient être exploités pour faciliter les violations. Pour un aperçu de la façon dont UpGuard peut compresser votre surface d'attaque et réduire le risque de violations de données, regardez la vidéo ci-dessous.
