Menü
Security

Heisec-Netzwerkcheck spürt offene UPnP-Dienste auf

Von
vorlesen Drucken Kommentare lesen 85 Beiträge

Für den UPnP-Check muss man die rot markierte Option aktivieren.

Netzwerkfähige Geräte, die aus UPnP-Anfragen auf dem Internet antworten, sind ein potenzielles Sicherheitsrisiko. Mit dem Netzwerkcheck von heise Security lässt sich nun mit wenigen Klicks überprüfen, ob unter der eigenen externen IP-Adresse UPnP-taugliches Netzwerkequipment wie Router, Netzwerkspeicher (NAS), Drucker oder Fernseher antworten.

Über Universal Plug and Play (UPnP) können Geräte im lokalen Netzwerk etwa ihre Dienste ankündigen und Steuerbefehle austauschen. Das ist komfortabel und reduziert den Konfigurationsaufwand. Problematisch wird es allerdings, wenn die UPnP-fähigen Geräte nicht nur auf Anfragen aus dem lokalen Netz antworten, sondern auch aus dem Internet. So bekommen Hacker die Gelegenheit, das Gerät auf Firmware-Schwachstellen abzuklopfen. Und davon gibt es reichlich.

Die Sicherheitsfirma Rapid7 fand heraus, dass viele UPnP-fähige Netzwerkgeräte verwundbare Versionen zweier UPnP-Implementierungen nutzen. Bei einem IP-Scan der Firma antworteten weltweit über 80 Millionen Geräte auf UPnP-Anfragen, über die Hälfte davon mit verwundbaren UPnP-Tools. Betroffen sind laut der Sicherheitsfirma Geräte von über 1500 Herstellern darunter D-Link, Fujitsu, Huawei, Logitech, Netgear, Siemens, Sony, TP-Link und Zyxel.

Der Netzwerkcheck zeigt einen Warnhinweis an, wenn er unter der externen IP-Adresse eine Antwort über UPnP erhält.

Einen plausiblen Grund dafür, dass etwa ein Router überhaupt auf UPnP-Anfragen aus dem Internet antwortet, gibt es nicht. Wer überprüfen will, ob unter der eigenen Internet-IP ein Gerät über UPnP erreichbar ist, kann hierzu die neue UPnP-Option des Netzwerkchecks nutzen, den heise Security in Zusammenarbeit mit dem Landesbeauftragten für den Datenschutz des Landes Niedersachsen anbietet. Dabei sendet der Scanner eine sogenannte Discovery-Anfrage an den UDP-Port 1900 der IP-Adresse, mit der die Seite besucht wird. Wenn das Tool eine Antwort erhält, zeigt es den Inhalt des empfangenen Pakets an. Der Dienst funktioniert derzeit allerdings nur mit IPv4.

Gibt der Netzwerkcheck den roten Warnhinweis "Offener UPnP-Dienst gefunden" aus, sollte man versuchen, den Zugang zu UPnP zu sperren. Die Möglichkeiten, das zu tun, sind allerdings begrenzt: Entweder versucht man, die UPnP-Funktionen komplett zu deaktivieren oder die Kommunikation durch die Firewall zu unterbinden. In beiden Fällen sollte man den Scan danach erneut starten, um zu überprüfen, ob sich das Problem tatsächlich erledigt hat.

Langfristig ist nur zu hoffen, dass die Hersteller der betroffenen Geräte abgesicherte Firmware-Updates anbieten werden. Allzu große Hoffnung sind allerdings nicht angebracht – insbesondere dann, wenn das Gerät schon einige Jahre auf dem Buckel hat und nicht mehr vom Hersteller gepflegt wird.

(rei)