Universal Plug and Play maakt het ook crimineel makkelijk

De Turkse beveiligingsonderzoeker Yunus Çadırcı heeft een website opgezet rond de exloit die hij CallStranger heeft genoemd. Hij geeft advies over de maatregelen die zakelijke gebruikers en consumenten kunnen nemen om het probleem af te vangen, signaleerde Ars Technica.

Çadırcı laat met CallStranger zien dat het 12 jaar oude UPnP-protocol ingezet kan worden om de apparaten die zijn aangesloten met dit hulpmiddel ingezet kunnen worden op DDoS-aanvallen op te zetten. Daarnaast is het mogelijk gegevens uit het netwerk te halen waarop de apparatuur is aangesloten, ook als is er goede beveiliging aangebracht. CallStranger kan alle interne poorten scannen op een netwerk, die normaal niet zichtbaar zijn vanaf internet.

Het gevolg is dat CallStranger ongeautoriseerde gebruikers op afstand contact kan laten maken met apparatuur die normaal alleen op het lokale netwerk zichtbaar is. De kwetsbaarheid is omschreven als CVE-2020-12695 .