UPnP 漏洞影響十億設備,導致數據泄露或遭受 DDoS 攻擊
通用即插即用(UPnP)漏洞可能會影響數十億個設備,該漏洞使黑客能夠訪問其他連接的設備并在本地網絡上進行DDoS攻擊。該錯誤會影響支持UPnP協議的設備,該協議使設備能夠在本地網絡上相互通信。最近發現的被稱為CallStranger漏洞的錯誤是由UPnP訂閱功能中的標頭值引起的,并且可以由攻擊者控制以允許服務器端請求偽造(SSRF)。該漏洞可能被黑客用來執行分布式拒絕服務攻擊以及數據泄露。UPnP協議由開放連接基金會(OCF)進行管理,該基金會已發布了更新,但大多數設備制造商并未將其更改納入固件中。
遭受DDoS攻擊或數據泄露的風險
UPnP漏洞CVE-2020-12695可用于DDoS攻擊、繞過安全系統、執行數據滲透和掃描內部端口。根據發現通用即插即用協議中的漏洞的研究人員Yunus?adirci所說,數據泄露仍然是最大的風險。當未經授權的實體訪問網絡上的設備并手動或使用軟件程序復制數據時,就會發生數據泄露。一旦惡意行為者可以訪問網絡上的設備,組織就幾乎無法阻止數據泄露。
?adirci說,僵尸網絡運營商可以開始使用最終用戶設備進行DDoS攻擊。盡管企業已經阻止了Internet暴露的UPnP設備,但是攻擊者仍然可以通過Intranet到Intranet端口掃描來進行DDoS攻擊。
UPnP協議易受DDoS攻擊的原因是因為它具有自動發現功能。該協議旨在在所有設備都受信任的局域網中使用。因此,它不需要任何形式的驗證身份驗證。盡管設備保護服務在UPnP協議上增加了一層額外的安全保護,但大多數UPnP設備制造商并未采用該技術。
許多面向互聯網的設備都包括UPnP功能,可輕松連接。但是,發現功能和Internet連接允許黑客將大量數據發送到可通過Internet訪問的任意目的地。
保護易受攻擊的設備的步驟
為防止局域網內的設備被用來發起DDoS攻擊或遭受數據泄露,UPnP供應商建議實施OCF于2020年4月17日發布的更新。但是,更新可能需要花費一些時間,因為它依賴于供應商為其固件打補丁。一旦設備供應商發布了設備固件的更新版本,設備用戶就應毫不猶豫地更新其設備。
建議設備制造商默認禁用UPnP SUBSCRIBE功能,并需要用戶同意和適當的網絡限制才能啟用該功能。他們還應在Internet可訪問的接口上禁用UPnP協議。
受到UPnP漏洞影響的設備包括Windows PC,游戲機,電視和華碩,貝爾金,博通,思科,戴爾,D-Link,華為,Netgear,三星,TP-Link,中興等的路由器。
除非其啟用Internet的設備具有UPnP終結點,否則家庭用戶不會直接受到CallStranger漏洞的影響。因此,建議他們不要將端口轉發到UPnP端點。
企業風險增加
隨著物聯網(IoT)在現代企業網絡中變得越來越普遍,UPnP漏洞增加了攻擊面,并使黑客更有可能成功突破網絡。黑客現在可以通過數據滲透來竊取敏感數據,并可以通過在主機網絡上發起DDoS攻擊來關閉Intranet。為了防止這些形式的攻擊,組織可以通過訪問敏感信息來禁用對IoT設備的UPnP支持。將此類設備與企業網絡隔離也可以防止此類攻擊的發生。但是,更新UPnP設備應該是組織的優先事項。
網絡安全公司ImmuniWeb的創始人兼首席執行官Ilia Kolochenko說,影子IT和IT基礎架構的復雜性使企業網絡更容易受到攻擊。
“現代企業的特點是其IT基礎架構的飛速發展,其復雜性可能分散在一百個國家中,并由成千上萬的第三方維護。一方面,這使組織極易受到攻擊,并容易受到諸如勒索軟件之類的網絡攻擊,這些攻擊利用影子IT設備,未受保護的云和廢棄的服務器作為進入受害者房屋的入口。但是,另一方面,這種錯綜復雜的復雜性實際上使全球攻擊幾乎不可能,因為中央系統的某些不連貫部分將繼續孤立地工作。盡管如此,完全有可能識別系統的“心臟和大腦”并將其直接作為目標,從而造成災難性的后果。”
他補充說:“我們很可能會看到專業的網絡雇傭兵不僅會被用于數據盜竊活動,而且還會被用于破壞性很強的破壞性黑客活動。在前所未有的政治和經濟危機中,許多不道德的組織和國家行為者會通過癱瘓他們的計算機化工廠,供應管理鏈和銷售點來粉碎競爭對手。鑒于我們的IT基礎架構已變得多么互聯,得益于IoT設備和連接對象的迅速普及,一次明智的準備攻擊可能會迅速將一家跨國公司關閉數周甚至數月。對數字資產和數據的可見性,清單和連續監視是避免成為復雜攻擊受害者的關鍵。”
