Of je router aan internetzijde op poort 1900/UDP luistert kun je ook hiervandaan laten testen zonder Java te installeren: http://www.heise.de/security/dienste/portscan/test/go.shtml?scanart=4

Neem de captcha over, zet een vinkje in [ ] voor de tekst Ich bestätige, dass... en druk op Scan Starten (Mocht je NoScript gebruiken: ik zou Javascript aanzetten voor heise.de, maar zonder Javascript lijkt het ook te werken).

Inderdaad, maar alleen aan de internetzijde zoals je ook aangeeft.
Voor onderzoek van het eigen netwerk blijft die "ScanNow for UPnP" nodig, mét z'n irritante Java-afhankelijkheid.
(http://www.rapid7.com/resources/free-security-software-downloads/universal-plug-and-play-jan-2013.jsp)

Voor onderzoek van de router vanaf de internetzijde zijn overigens nog meer opties dan die van heise.de.
Vanuit dit artikel
https://community.rapid7.com/community/infosec/blog/2013/01/29/security-flaws-in-universal-plug-and-play-unplug-dont-play
wordt ook verwezen naar de "Rapid7 UPnP Check"/ "UPnP Router Security Check":
http://upnp-check.rapid7.com/
Die was gisteren overbelast, maar werkt inmiddels prima.

En daarnaast is er ook de poort 1900/UDP scan van GRC:
https://www.grc.com/port_1900.htm
(en aanvullend de poort 5000/TCP scan:
https://www.grc.com/port_5000.htm)

Wat een paniek allemaal! We hebben het hier over upnp libaries op netwerk apparaten (waaronder routers) die vanaf het internet te misbruiken zijn. Hoe gaat een netwerk printer zichzelf toegankelijk maken vanaf internet via upnp door een (veilige) router? Een netwerk printer zet hooguit een web interface open via upnp. Daarmee kan de printer nog niet via dit lek aangevallen worden (verbeter mij als ik dit verkeerd zie).

Voor bedrijven kan het belangrijk zijn dat er geen lekke apparaten op het lokale internet (lan) zitten. Maar voor thuisgebruikers maakt het allemaal niet zo veel uit. Tenzij je een pakketje uit Iran krijgt met de groeten van Ahmadinejad en een (handig) netwerk apparaat dat met een UTP kabel/wifi aangesloten moet worden..

Het enige wat je kan doen met betrekking tot dit lek is:
1) firewall in modem controleren (geen upnp poorten open inkomend naar het lan)
2) controleren of je router upnp vanaf buiten (wan) heeft open staan (en dan? er zijn nog geen firmware patches)
3) upnp zo veel mogelijk uitzetten op je router (vaak zo simpel als een vinkje weg halen in de modem interface en op 'apply' drukken).

Dubieuze programma's op je computer uitvoeren of jezelf laten indexeren door shodan lijken mij allemaal niet productief. Ook is er een kans dat Microsoft Windows helemaal niet de kwetsbare libraries gebruikt, dus dat die ook niet gepatched hoeven te worden komende patchdinsdag. Dan hoeft upnp dus ook niet uitgeschakeld te worden in Windows. Zelf gebruik ik upnp niet, maar het is wel handig voor wat minder handige gebruikers icm met bittorrent e.d.

Dank je, Peter.
Ik kende die tool al, maar doordat Steve Gibson weliswaar vermeldt "Now compatible with ALL Versions of Windows",
maar tevens boven- en onderaan de pagina vermeld wordt "Last Edit: Mar 03, 2008" (dat was dus vóór Windows 7),
wist ik niet of de tool werkelijk wel compatible is met Windows 7 en Windows 8.
De tool schakelt twee services uit, SSDP Discovery en UPnP Device Host, maar ik heb nooit gecontroleerd of het ook op de nieuwe Windows versies die twee services daadwerkelijk uitschakelt.
Heb jij dat gecontroleerd, Peter? (En/of anderen?)


[wijziging: "onderaan de pagina" --> "boven- en onderaan de pagina"]

Dankjewel, Peter.
Mooi, UnPnP is dus blijkbaar wérkelijk compatible met alle Windows versies.
Jammer dat Steve Gibson zich blijkbaar niet realiseert dat de vermelding "Last Edit: Mar 03, 2008" daarover twijfel kan geven, maar goed, dat is slechts een schoonheidsfoutje.
Nogmaals bedankt voor het controleren, Peter.

Ja, dat is geen slecht idee, het gaat op m'n te-doen-lijstje voor dit weekend.

Wel zie ik dat op de ShieldsUP! pagina nu ook een "GRC's Instant UPnP (Internet) Exposure Test" wordt aangeboden (vergelijkbaar met de eerder hierboven genoemde testjes voor UPnP-request onderzoek van de router vanaf de internetzijde). Dat GRC-testje is vrij nieuw of erg nieuw, ik heb het daar niet eerder gezien. Er is dus blijkbaar nog wel actuele activiteit.

@ Peter V,
Nogmaals over GRC UnPnP,

Zonet heb ik GRC UnPnP eens uitgeprobeerd op m'n Vista systeem.
Keurig "As Administrator" uitgevoerd, UAC toestemming gegeven, en vervolgens "Disable UPnP".
Resultaat, het programma reageert niet meer, hangt.
Uitvoeren in compatibiliteitsmodus geprobeerd, zelfde resultaat.
Merkwaardig. Toch ergens wat mis met compatibiliteit, of een andere reden?
Ik zie vooralsnog geen verklaring.

Geen probleem natuurlijk, wie de SSDP Discovery service en de UPnP Device Host service wil uitschakelen die kan dat net zo gemakkelijk via Services doen.
Toch wilde ik mijn ervaring met GRC UnPnP even melden.


Aanvulling:
Mijn eerdere voornemen om GRC per e-mail te melden dat de vermelding "Last Edit: Mar 03, 2008" twijfel kan geven over de compatibiliteit met nieuwere Windows-versies, dat lijkt me nauwelijks meer relevant, gezien het feit dat zelfs de compatibiliteit met Vista niet eens volkomen lijkt te zijn.
Wanneer ik tijd over heb en het niet vergeet kan ik een gecombineerde melding maken, van die beide punten, maar het heeft geen prioriteit voor me.

@Peter: Skype help je ook om zeep met de tips van het NCSC. Zie https://support.skype.com/en/faq/FA148/which-ports-need-to-be-open-to-use-skype-for-windows-desktop. Op het plaatje staat een vinkje bij upnp. Bovendien maak je het ook stuk in Windows (wat niet nodig is, want windows is vast niet getroffen). Al met al zullen veel gewone gebruikers niet geholpen zijn met deze tips. Bovendien zullen ze door de bomen het bos niet meer zien omdat het probleem veel te algemeen is gemaakt en niet specifiek het lek oplost. Veel mensen zullen hierdoor denken 'laat maar zitten, het overkomt mij toch niet'.

Met Shodan heb ik het probleem dat lekken niet opgelost worden, maar zichtbaar gemaakt worden voor de hele wereld. Dat is gevaarlijk. Tegen de tijd dat Shodan uit zichzelf je router bezoekt is het probleem misschien al opgelost met een patch. Maar als je jezelf 'vrijwillig' aanmeldt bij de zoekmachine... Ik zou de beheerders van Shodan geen whitehats noemen. Meer greyhats. Zelfde voor metaspoit (die releasen 0days als het zo uitkomt).

Zelf heb ik recent een Fritz!Box 7360 gekregen van xs4all, en ik ga op de blauwe ogen van de fabrikant (avm) af als die zegt dat ik niet getroffen ben (link had ik al gepost in een andere thread). En mocht ik nog mijn Speedtouch hebben gehad, dan zou ik die niet 'aanmelden' bij een site als Shodan. Want wat is het alternatief? Geen internet tot het probleem is opgelost? (Als dat al gaat gebeuren). Firmware update downloaden op een veilige computer??

Ik bedoel het allemaal niet rot, maar het komt op mij over als blinde paniek waarbij het hele protocol upnp de dupe is. Los van het nut wat het ook heeft voor veel mensen die niet weten wat een 'poort' is bijvoorbeeld. Laat staan hoe ze die open zetten in hun modem interface. Ik dacht dat de waarschuwingsdienst zich ook richtte op de gewone computergebruiker?! Hier hebben Henk en Ingrid niets aan ;-) [excuses voor de vergelijking]

Skype kan ook prima werken als upnp uit staat op het modem.
(known working met skype/linux en skype/mac, maar dat zal vast niet anders zijn met skype/windows ).