Drei Jahre alte UPnP-Sicherheitslücken bedrohen Millionen von Smartphones und Routern

Trend Micro schätzt, dass derzeit rund 6,1 Millionen Smartphones, Router und Smart-TVs anfällig für eine Remotecodeausführung sind. Grund dafür sind mehrere als kritisch einzustufende Sicherheitslücken im Portable SDK für UPnP – auch libupnp genannt. Zwar gibt es seit 2012 Patches für die Schwachstellen, viele Anbieter haben die aktualisierte Version der Bibliothek aber bisher nicht in ihre Apps integriert.

Die Bibliothek für die Ansteuerung von Geräten per Universal Plug and Play (UPnP) implementiert die Medienwiedergabe auf DLNA zertifizierten Geräten oder über NAT-Traversal (UPnP IDG). Smartphone-Apps können laut Trend Micro diese Funktionen benutzen, um Mediendateien abzuspielen oder sich mit anderen Geräten in einem Netzwerk zu verbinden.

„Wir haben 547 Apps gefunden, die ältere Versionen von libupnp benutzen. 326 davon sind im Google Play Store erhältlich, darunter verbreitete Apps wie Netflix und Tencent QQMusic“, heißt es im Trend-Micro-Blog. „Das sind sehr beliebte Apps, die Millionen von Nutzern gefährden. Neben mobilen Geräten sind auch Router und Smart-TVs angreifbar.“

Der eigentliche Fehler tritt dem Blogeintrag zufolge bei der Verarbeitung von Netzwerkpaketen des Simple Service Discovery Protocol (SSDP) auf. Ist der Port 1900 geöffnet, kommt es zu einem Stack-Überlauf. Ein Exploit könne nicht nur einen Absturz der Anwendung auslösen, er erlaube auch das Einschleusen und Ausführen von Schadcode, was einem Angreifer die vollständige Kontrolle über ein betroffenes Gerät gebe. Bisher seien aber nur Exploits für Geräte im Umlauf, die nicht über Sicherheitsfunktionen wie Data Execution Prevention (DEP) und Adress Space Layout Randomization (ASLR) verfügen.

Einige Anbieter haben inzwischen ihre Apps aktualisiert, darunter Tencent und Linphone. Nach Rücksprache mit Netflix habe sich herausgestellt, dass das Unternehmen eine eigene Fork von libupnp verwende. Trotz der als anfällig geltenden Versionsnummer 1.6.13 seien die Schwachstellen bereits geschlossen worden, erklärte Netflix. „Wir nehmen also an, dass sie nicht von einer Remotecodeausführung betroffen sind“, ergänzte Trend Micro.

Trend Micro weist zudem darauf hin, dass SDKs auch auf andere SDKs angewiesen sein können, um ausgeführt zu werden. Als Beispiel nennt das Unternehmen das Linphone SDK, das anderen Apps Voice-over-IP-Funktionen zur Verfügung stellt. libupnp sei wiederum eine von mehreren Optionen des Linphone SDK, um NAT Traversal via UPnP zu realisieren. „Wird diese Option gewählt, wird der anfällige Dienst aktiviert“, schreibt Trend Micro.