Spoofing SSDP and UPnP Devices with EvilSSDP
Consultez https://www.hackingarticles.in/evil-ssdp-spoofing-the-ssdp-and-upnp-devices/ pour plus d'informations.
Aperçu de SSDP & UPnP
SSDP (Simple Service Discovery Protocol) est utilisé pour la publicité et la découverte de services réseau, fonctionnant sur le port UDP 1900 sans nécessiter de configurations DHCP ou DNS. Il est fondamental dans l'architecture UPnP (Universal Plug and Play), facilitant l'interaction transparente entre les appareils en réseau tels que les PC, les imprimantes et les appareils mobiles. Le réseau de configuration zéro d'UPnP prend en charge la découverte de périphériques, l'attribution d'adresses IP et la publicité de services.
Flux et structure d'UPnP
L'architecture UPnP comprend six couches : adressage, découverte, description, contrôle, événement et présentation. Initialement, les appareils tentent d'obtenir une adresse IP ou de s'en attribuer une (AutoIP). La phase de découverte implique le SSDP, les appareils envoyant activement des requêtes M-SEARCH ou diffusant passivement des messages NOTIFY pour annoncer des services. La couche de contrôle, essentielle pour l'interaction client-appareil, utilise des messages SOAP pour l'exécution de commandes basées sur les descriptions d'appareils dans des fichiers XML.
Aperçu de l'IGD et des outils
L'IGD (Internet Gateway Device) facilite les mappages de ports temporaires dans les configurations NAT, permettant l'acceptation de commandes via des points de contrôle SOAP ouverts malgré les restrictions standard de l'interface WAN. Des outils comme Miranda aident à la découverte de services UPnP et à l'exécution de commandes. Umap expose des commandes UPnP accessibles via WAN, tandis que des référentiels comme upnp-arsenal offrent une gamme d'outils UPnP. Evil SSDP se spécialise dans le phishing via des appareils UPnP usurpés, hébergeant des modèles pour imiter des services légitimes.
Utilisation pratique d'Evil SSDP
Evil SSDP crée efficacement de faux appareils UPnP convaincants, incitant les utilisateurs à interagir avec des services apparemment authentiques. Les utilisateurs, trompés par l'apparence authentique, peuvent fournir des informations sensibles telles que des identifiants. La polyvalence de l'outil s'étend à divers modèles, imitant des services tels que des scanners, Office365 et même des coffres-forts de mots de passe, capitalisant sur la confiance des utilisateurs et la visibilité du réseau. Après la capture des identifiants, les attaquants peuvent rediriger les victimes vers des URL désignées, maintenant la crédibilité de la tromperie.
Stratégies d'atténuation
Pour lutter contre ces menaces, des mesures recommandées incluent :
Désactiver UPnP sur les appareils lorsque ce n'est pas nécessaire.
Sensibiliser les utilisateurs au phishing et à la sécurité réseau.
Surveiller le trafic réseau pour les données sensibles non chiffrées.
En essence, bien qu'UPnP offre commodité et fluidité réseau, il ouvre également des portes à une exploitation potentielle. La sensibilisation et la défense proactive sont essentielles pour garantir l'intégrité du réseau.
Last updated