CVE-2020-12695

Versões da especificação UPnP da Open Connectivity Foundation anteriores a 17/04/2020

Versões do 4thline cling de 2.0.0 a 2.1.2

O problema está relacionado ao protocolo UPnP, que permite que invasores remotos causem uma negação de serviço por meio de um parâmetro CALLBACK não verificado no cabeçalho da solicitação. Essa vulnerabilidade pode ser explorada para extrair dados de redes, escanear portas de computadores na rede interna e amplificar ataques DDoS usando milhões de dispositivos UPnP conectados, como modems a cabo, roteadores domésticos, consoles de videogame, câmeras IP, decodificadores de TV, centros de mídia e impressoras. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado, mas sabe-se que a vulnerabilidade afeta uma ampla gama de dispositivos, incluindo PCs com Windows 10, Xbox One, modems e roteadores de diferentes fabricantes, smart TVs e dispositivos de “casa inteligente”.

Para versões da especificação UPnP da Open Connectivity Foundation anteriores a 17/04/2020: considere desativar o protocolo UPnP até que um patch esteja disponível.

Para as versões 2.0.0 a 2.1.2 do 4thline cling: Como o 4thline cling não é mais suportado pelos mantenedores, considere atualizar para uma alternativa suportada ou desativar o parâmetro CALLBACK vulnerável no cabeçalho da solicitação.

Como solução alternativa temporária, considere restringir o acesso ao protocolo UPnP para minimizar o risco de exploração. Além disso, considere fechar as portas UPnP para prevenir possíveis ataques.