Consulta https://www.hackingarticles.in/evil-ssdp-spoofing-the-ssdp-and-upnp-devices/ para obtener más información.

Visión general de SSDP y UPnP

SSDP (Protocolo de Descubrimiento de Servicios Simples) se utiliza para la publicidad y descubrimiento de servicios de red, funcionando en el puerto UDP 1900 sin necesidad de configuraciones de DHCP o DNS. Es fundamental en la arquitectura de UPnP (Plug and Play Universal), facilitando la interacción sin problemas entre dispositivos en red como PC, impresoras y dispositivos móviles. La red de configuración cero de UPnP admite el descubrimiento de dispositivos, la asignación de direcciones IP y la publicidad de servicios.

Flujo y Estructura de UPnP

La arquitectura de UPnP consta de seis capas: direccionamiento, descubrimiento, descripción, control, eventos y presentación. Inicialmente, los dispositivos intentan obtener una dirección IP o asignarse una automáticamente (AutoIP). La fase de descubrimiento implica el SSDP, con dispositivos enviando activamente solicitudes M-SEARCH o transmitiendo pasivamente mensajes NOTIFY para anunciar servicios. La capa de control, vital para la interacción cliente-dispositivo, utiliza mensajes SOAP para la ejecución de comandos basados en descripciones de dispositivos en archivos XML.

Visión general de IGD y herramientas

IGD (Dispositivo de Puerta de Enlace a Internet) facilita mapeos temporales de puertos en configuraciones NAT, permitiendo la aceptación de comandos a través de puntos de control SOAP abiertos a pesar de las restricciones estándar de la interfaz WAN. Herramientas como Miranda ayudan en el descubrimiento de servicios UPnP y la ejecución de comandos. Umap expone comandos UPnP accesibles desde WAN, mientras que repositorios como upnp-arsenal ofrecen una variedad de herramientas UPnP. Evil SSDP se especializa en phishing a través de dispositivos UPnP falsificados, alojando plantillas para imitar servicios legítimos.

Uso práctico de Evil SSDP

Evil SSDP crea de manera efectiva dispositivos UPnP falsos convincentes, manipulando a los usuarios para que interactúen con servicios aparentemente auténticos. Los usuarios, engañados por la apariencia genuina, pueden proporcionar información sensible como credenciales. La versatilidad de la herramienta se extiende a varias plantillas, imitando servicios como escáneres, Office365 e incluso bóvedas de contraseñas, aprovechando la confianza del usuario y la visibilidad en la red. Después de capturar credenciales, los atacantes pueden redirigir a las víctimas a URL designadas, manteniendo la credibilidad del engaño.

Estrategias de mitigación

Para combatir estas amenazas, se recomiendan medidas como:

• Desactivar UPnP en dispositivos cuando no sea necesario.

• Educar a los usuarios sobre el phishing y la seguridad de la red.

• Monitorear el tráfico de red en busca de datos sensibles no encriptados.

En esencia, aunque UPnP ofrece conveniencia y fluidez en la red, también abre puertas a posibles explotaciones. La conciencia y la defensa proactiva son clave para garantizar la integridad de la red.