可以利用影響到數(shù)十億設備的最新披露的UPnP漏洞進行各種類型的惡意活動,包括分布式拒絕服務DDoS攻擊和數(shù)據(jù)泄露�����。
UPnP協(xié)議旨在促進自動發(fā)現(xiàn)并與網(wǎng)絡上的設備進行交互��,因為它缺乏任何形式的身份驗證或驗證��,因此可在受信任的局域網(wǎng)(LAN)中使用��。
許多常用的Internet連接設備都支持UPnP����,但是為UPnP添加安全功能的設備保護服務并未得到廣泛采用。
在周一發(fā)布的警報中�����,CERT協(xié)調(diào)中心(CERT / CC)警告說�,一個漏洞會影響4月17日之前生效的協(xié)議,當時開放連接基金會(OCF)更新了UPnP協(xié)議規(guī)范��。該漏洞可能使攻擊者將“大量數(shù)據(jù)發(fā)送到可通過Internet訪問的任意目的地”。
漏洞被跟蹤為CVE-2020-12695��,被稱為CallStranger���,可以被未經(jīng)身份驗證的遠程攻擊者濫用�,以進行DDoS攻擊���,繞過安全系統(tǒng)和泄露數(shù)據(jù)以及掃描內(nèi)部端口���。
CERT / CC指出:“盡管在互聯(lián)網(wǎng)上提供UPnP服務通常被認為是一種錯誤的配置,但根據(jù)最近的Shodan掃描���,仍有許多設備可以通過互聯(lián)網(wǎng)使用�����!
該漏洞是由安永土耳其公司的YunusÇadırcı發(fā)現(xiàn)的����,它會影響Windows PC,游戲機���,華碩����,Belkin,Broadcom�����,Cisco�����,Dell���,D-Link��,華為����,Netgear���,三星��,TP-Link���,ZTE等的電視和路由器�����。很多其他的���。
Çadırcı解釋說:“ [漏洞]是由UPnP SUBSCRIBE函數(shù)中的回調(diào)標頭值引起的,攻擊者可以控制該漏洞并啟用類似SSRF的漏洞,該漏洞影響數(shù)百萬個面向Internet的互聯(lián)網(wǎng)和數(shù)十億個LAN設備��!
為了保持保護,建議供應商實施OCF提供的更新規(guī)范。用戶應留意供應商支持渠道以了解實施新的SUBSCRIBE規(guī)范的更新。
設備制造商應在默認配置中禁用UPnP SUBSCRIBE功能��,并確保需要明確的用戶同意才能以任何適當?shù)木W(wǎng)絡限制啟用SUBSCRIBE�����。還建議在Internet可訪問的接口上禁用UPnP協(xié)議��。
“家庭用戶不應直接成為目標�����。如果其面向Internet的設備具有UPnP端點�����,則其設備可用于DDoS源��。詢問您的ISP�����,您的路由器是否具有面向Internet的帶有CallStranger漏洞的UPnP —有數(shù)百萬個消費者設備暴露于Internet�����。不要移植到UPnP端點���������!Çadırcı說���。
安全研究人員還指出����,僵尸網(wǎng)絡可能會通過消耗最終用戶設備來很快開始實施該技術。企業(yè)可能已經(jīng)阻止了Internet公開的UPnP設備�,但是內(nèi)部網(wǎng)到內(nèi)部網(wǎng)端口掃描預計將成為一個問題。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡舉報APP下載
