Chercheur en sécurité chez Rapid7 et connu pour être le créateur de Metasploit, HD Moore prévient de la publication d'un livre blanc sur des failles dans l'Universal Plug and Play. Le conseil des chercheurs de Rapid7 est de désactiver cette fonctionnalité réseau en raison d'une implémentation vulnérable dans des milliers d'appareils.
Cette recommandation est reprise par l'US-CERT dans la mesure où UPnP ne relève pas d'une absolue nécessite sur l'appareil connecté. La recommandation s'applique aussi bien aux entreprises qu'aux particuliers.
L'UPnP est un protocole de communication qui facilite la connexion et la constitution de réseaux pour tout un ensemble d'appareils allant des routeurs, en passant par les imprimantes réseaux, les NAS ou encore les TV connectées. Il est activé par défaut sur Windows, OS X et de nombreuses distributions Linux.
L'US-CERT explique que plusieurs vulnérabilités de type dépassement de tampon sont présentes dans la bibliothèque logicielle libupnp utilisée pour le kit de développement Portable UPnP. Une mise à jour 1.6.18 de libupnp a été publiée pour combler les vulnérabilités et des vendeurs ont été prévenus afin qu'ils procèdent à la mise à jour.
De juin à mi-novembre 2012, Rapid7 a identifié plus de 81 millions d'adresses IP uniques qui ont répondu à une requête UPnP depuis Internet. Entre 40 et 50 millions d'entre elles étaient vulnérables à au moins une attaque connue.
Rapid7 a pointé du doigt 6 900 produits vendus par 1 500 fournisseurs différents qui contenaient au moins une vulnérabilité UPnP. " Malheureusement, les réalités de l'industrie électronique grand public font que la plupart des systèmes seront laissés vulnérables pour un temps indéterminé. "
