CallStranger, el error que escanea puertos LAN y roba datos

Estamos acostumbrados a ver muchas vulnerabilidades que de una u otra forma pueden poner en riesgo nuestros dispositivos. Hoy nos hacemos eco de un nuevo fallo que afecta al protocolo UPnP (Univrsal Plug and Play) que está presente en miles de millones de dispositivos en todo el mundo. Esta vulnerabilidad ha sido denominada CallStranger y permite robar datos de los dispositivos, escanear puertos LAN e incluso convertir esos equipos en bots.

CallStranger, vulnerabilidad en el protocolo UPnP

Como hemos mencionado a esta vulnerabilidad se la conoce como CallStranger. Es un error importante por la cantidad de dispositivos vulnerables, ya que afecta a todos los que ejecutan una versión UPnP que no esté actualizada más allá del 17 de abril. En estos dispositivos podemos incluir una gran cantidad de equipos que ejecutan Windows 10, routers, puntos de acceso, impresoras, videoconsolas, dispositivos multimedia, cámaras, televisiones…

El protocolo UPnP es muy utilizado por los dispositivos que usamos en nuestro día a día. Esto hace que sean millones en todo el mundo los que pueden ser vulnerables. Como sabemos, este protocolo se utiliza para la detección automática de dispositivo de redes y poder interaccionar entre ellos. Está destinado para utilizarse en una red local fiable, ya que no cuenta con verificación o autenticación.

Esta vulnerabilidad llamada CallStranger ha sido registrada como CVE-2020-12695. Puede ser explotada de forma remota sin necesidad de autenticación. El fallo se encuentra en el valor del encabezado de devolución de llamada, que podría ser controlado por un atacante.

¿Qué ocurre si un hipotético atacante logra explotar esta vulnerabilidad? Según los investigadores de seguridad podría eludir los dispositivos de seguridad de red y las soluciones de prevención de pérdida de datos diseñadas para evitar el envío de información crítica o confidencial fuera de la red corporativa.

El mayor riesgo de CallStranger es precisamente la filtración de datos. Sin embargo también podría servir para llevar a cabo ataques DDoS desde múltiples dispositivos accesibles desde la web pública, así como poder escanear puertos LAN desde dispositivos UPnP que cuenten con conexión a Internet.

Crearon un script para verificar qué dispositivos en la red pueden sufrir ataques a través de esta vulnerabilidad. Básicamente lo que hace es buscar todos los equipos en esa red local. En la actualidad hay millones de dispositivos expuestos públicamente en la red.

Vulnerabilidades importantes que hay que corregir

Parche disponible

Hay que tener en cuenta que existe un parche disponible desde hace ya casi dos meses. El problema es que muchos dispositivos siguen sin actualizarse y estarán así aún mucho tiempo. Es muy importante, como siempre mencionamos, mantener los últimos parches y actualizaciones instalados. Son muchas las ocasiones en las que pueden surgir vulnerabilidades que son aprovechadas por los piratas informáticos para desplegar sus ataques.

Uno de los consejos que dan los investigadores de seguridad es deshabilitar los servicios UPnP que sean innecesarios, especialmente en aquellos dispositivos que tengan acceso a Internet. También es interesante comprobar las redes y la Intranet para ver que los dispositivos UPnP no estén filtrando datos. Siempre podemos ver el log de la seguridad de red.

Os dejamos un artículo donde explicamos cómo proteger los puertos LAN.