muchas veces he sido testigo de la mala configuracion de los dispositivos de red,  configuracion por defecto que ni algunos administradores de sistemas se preocupan por cambiar o reforzar la seguridad de la propia infraestructura.
solo con una busqueda en shodan o con un escaneo a tu vecino con nmap podemos verificar si tiene el puerto que hace uso del upnp,  si alguien tuviese acceso a este puerto como lo haremos  mas adelante podemos modificar atributos y valores en los archivos de configuracion y abrir nuevos puertos o puertas traseras para entrar a nuestro antojo.
como podemos ver en la siguiente imagen mi equipo tiene encendido la utilidad upnp:
como he mencionado miles y millonesimas de veces, si no estas usando una cierta tecnologia o algun protocolo en especifico, mejor asegurarnos de que este apagado, pues al no estar utilizandolo podria abrir nuevos vectores de ataque hacia nosotros.
ahora vamos a realizar un escaneo con nmap para verificar si en realidad el puerto esta abierto:
pero primero los puertos que utiliza upnp mas regularmente son los siguientes mostrados a continuacion en la siguiente imagen:
ahora vamos a comprobar que dichos puertos esten abiertos con algun escaneador ya preconstruido en nuestra distribucion de seguridad favorita.
vamos a ver que mas adelante podremos abrir puertos e incluso resetear la password del router sin siquiera hacerle un ataque de fuerza bruta ni conocer anteriormente cual es que era la password.
esta es la arquitectura del stack del protocolo upnp:

aunque esta vulnerabilidad ya ha sido corregida, durante muchas veces en la industria, aun asi,  siguen existiendo personas que lo activan sin darse cuenta que es lo que estan activando o para compatibilidades con otros dispositivos con el internet of things lo que propicia la entrada a algunos atacantes y asi mismo les facilita la vida.
vamos ala accion!, vamos a abrir miranda y a tipear help para la ayuda principal de comandos que podemos utilizar.
seguido de msearch para lanzar sondas de descubrimiento dentro de la red aver si alguien responde:
el formato del mensaje es el siguiente:
ahora vemos en miranda y posteriormente en wireshark para ver los detalles de los paquetes:
como podemos ver este protocolo no encripta la informacion por lo que la herramienta miranda recoge facilmente toda la informacion que viaje en estos mensajes asi como los sub-archivos.
podemos observar los mensajes de discovery es decir de descubrimiento y los mensajes notify que son los que aceptan que tal x dispostivo acepta conexiones UPNP, por lo que si recibimos un mensaje notify ese dispositrivo tiene encendida la conexion upnp.
aunque no lo parezca esto es demasiado delicado por lo que si un atacante logra hacer uso de esta tecnica,  puede primero infectar ala victima por un troyano, pero aqui habra un problema, y si?  por ejemplo,   el router de la victima tiene NAT activado?,  pues sucede que algunos routers tienen la opcion de desactivar el filtrado NAT  y dejar ala exposicion la direccion ip publica de nuestra LAN, ademas de que tenemos la posibildiad de agregar puertos extras para que nuestro RAT personalizado funcione correctamente.
miranda viene incluida casi en la gran mayoria de las distribuciones dedicadas ala seguridad informatica,   primero deberemos tipear el comando msearch en miranda para que mande paquetes de descubrimiento hacia multicast dentro del rango de dispositivos upnp.
podemos pararlo con ctr + c  y obtener una lista de hosts con el servicio upnp descubierto con el comando host list como se puede apreciar en la imagen:
si queremos enumerarlo o seleccionar algun dispositivo debemos tipear host get index, siendo el index el numero de dispositivo seleccionado como se vio en la anterior imagen.
ahora vamos a proceder a movernos por el arbol de directorios XML del router.
ahora podemos ver que nos arrojo mucha informacion sobre el router, el modelo, el fabricante,  la marca registrada,  los subdirectorios como lo mencione anteriormente,  estos subdirectorios son los que  usaremos para poder infiltrarnos dentro de las configuraciones del router y poder modificarlo sin tener acceso por el panel web o sin contar con la password del administrador de dicho router.

ahora deberemos ir jugando con la herramienta y las configuraciones aver hasta donde podemos entrar.
el primer subidrectorio referenciado en XML es deviceList {}  todo lo que este dentro de {} es un subdirectorio dentro de los archivos de configuracion.
ahora entramos al subidrectorio referenciado XML que es deviceList como lo mencionamos anteriormente.
y aqui observamos que contiene otros 3 directorios referenciados,  a simple vista podemos intuir de que se tratan.
voy a seleccionar algunos para ver que nos puede decir sobre la informacion del router de la victima.
ahora tipeamos de nuevo y .....
despues de tipear los subdirectorios , podemos observar que se encuentra otro que se llama services {}.
vamos a entrar en el aver que configuraciones podemos modificar.
vemos que tenemos varias opciones, ya seria eleccion de cada uno , seleccionar unas u otras en funucion de nuestras necesidades.
podemos hacer que el router navegue sin NAT,  con su direccion ip privada expuesta hacia internet o sin firewall para que nuestros virus o backdoors puedan pasar sin ningun problema.
la herramienta nos iran guiando para que podamos modificar ciertos valores, si el valor de configuracion es de tipo cadena o string, si es de tipo int,  entre otras cosas.
lo mas interesante de todo esto es que podemos hacer portforwarding o brincado de puertos para que el router victima se conecte a otra maquina y desde ahi vulnerarla,  aunque es un poco mas complejo de configurar.
cabe destacar tambien que no todos los dispositivios upnp son vulnerables, aunque en si mismo el defecto no se encuentra en la implantacion de los fabricantes si no en el protocolo en si mismo , puesto que no cifra nada de nada y esto es mas que delicado como nos ha visto ver la historia cibernetica.
saludos, nos vemos.
Stuxnet.


REFERENCIAS Y BIBLIOGRAFIA:
 https://es.wikipedia.org/wiki/Universal_Plug_and_Play
 http://bibing.us.es/proyectos/abreproy/11954/fichero/4+-+CAP.3+-+Tecnologia+UPnP.pdf
 http://odisea.ii.uam.es/esp/recursos/Upnp.htm
 http://upnp.org/specs/arch/UPnP-arch-DeviceArchitecture-v2.0.pdf

hacking inseguridad pentesting protocolos redes upnp