即插即用錯誤暴露了數(shù)百萬網(wǎng)絡設備

周一，一名研究人員報告稱，一個幾乎被所有物聯(lián)網(wǎng)設備使用的協(xié)議漏洞使數(shù)百萬用戶面臨潛在的攻擊。故障集中在通用即插即用協(xié)議上，該協(xié)議實施了12年，簡化了計算機、打印機、移動設備和Wi-Fi接入點等網(wǎng)絡設備之間的連接。

報告指出，從理論上講，數(shù)以億計的設備都是易受攻擊的，但目前只有那些激活了“通用即插即用”的設備才面臨被攻擊的風險。

土耳其安全工程師Yunus Cadirci發(fā)現(xiàn)了一個名為CallStranger的通用即插即用漏洞，這個漏洞可以被用來訪問任何智能設備，比如連接到互聯(lián)網(wǎng)的安全攝像頭、打印機和路由器。一旦獲得訪問權限，惡意代碼可以通過網(wǎng)絡防火墻和其他安全防御系統(tǒng)發(fā)送，并到達內(nèi)部數(shù)據(jù)庫。

這個漏洞還允許攻擊者偷偷地聚集大量的設備來進行拒絕服務攻擊，這些攻擊用流量淹沒目標、阻塞合法流量、淹沒處理資源并導致系統(tǒng)崩潰。

Cadirci經(jīng)營著一個網(wǎng)站，專門提供關于CallStranger漏洞的信息。去年晚些時候，他第一次發(fā)現(xiàn)了這個問題，并通知了開放連接基金會，后者已經(jīng)更新了通用即插即用規(guī)范來解決這個問題。供應商和互聯(lián)網(wǎng)服務供應商要求在他們有時間解決這個問題之前暫不發(fā)布漏洞通知。

“因為這是一個協(xié)議漏洞，供應商可能需要很長時間才能提供補丁，”Cadirci在他的報告中說。由于一些制造商還沒有糾正這個問題，而且許多物聯(lián)網(wǎng)設備從未收到更新，消費者應該聯(lián)系他們使用的通用即插即用設備的制造商，以確定是否有軟件或硬件補丁可用。

眾所周知，通用即插即用很容易讓用戶受到攻擊。2013年的一項研究項目證實，超過8100萬部本應在本地網(wǎng)絡中受到保護的設備，實際上在這些網(wǎng)絡之外，潛在的惡意行為者可以看到它們。

“我們認為數(shù)據(jù)泄露是呼叫陌生人的最大風險，”Cadirci說。檢查日志是至關重要的，如果任何威脅參與者在過去使用這個。因為它也可以用于分布式拒絕服務請求，我們預計僵尸網(wǎng)絡將開始通過消費終端用戶設備來實現(xiàn)這種新技術?！?/p>

安全專家建議用戶在不需要聯(lián)網(wǎng)的設備上禁用通用即插即用。路由器通常通過取消“設置”菜單中的復選框來禁用“通用即插即用”。

Cadirci測試并確認了數(shù)十種設備的漏洞，包括微軟、華碩、博通、思科、D-Link、愛普生、惠普、華為、NEC、飛利浦和三星。

Cadirci解釋說，攻擊者使用通用即插即用的訂閱功能來傳輸TCP包，這些包帶有被操縱的回調(diào)頭值。這使得入侵者能夠接入與互聯(lián)網(wǎng)持續(xù)連接的設備。