Tagapagpropala: Mga kakulangan ng UPnP ilantad ang milyun-milyong mga network na device sa mga remote attack

ng milyun-milyong mga network na may kakayahan sa network kabilang ang mga routers, printer, media server, IP camera, smart TV at higit pa ay maaaring attacked sa Internet dahil sa mapanganib na mga flaws sa kanilang pagpapatupad ng UPnP (Universal Plug at Play) protocol standard, mga mananaliksik sa seguridad mula sa Ang Rapid7 ay nagsabi sa Martes sa isang pananaliksik na papel.

UPnP ay nagpapahintulot sa mga network na aparato upang matuklasan ang bawat isa at awtomatikong magtatatag ng mga configuration ng trabaho na nagbibigay-daan sa pagbabahagi ng data, streaming ng media, media p layback control at iba pang mga serbisyo. Sa isang karaniwang sitwasyon, ang isang application na pagbabahagi ng file na tumatakbo sa isang computer ay maaaring sabihin sa isang router sa pamamagitan ng UPnP upang buksan ang isang tiyak na port at i-map ito sa lokal na network ng address ng computer upang mabuksan ang serbisyo sa pagbabahagi ng file nito sa mga gumagamit ng Internet.

UPnP ay inilaan upang magamit lalo na sa loob ng lokal na mga network. Gayunpaman, ang mga mananaliksik sa seguridad mula sa Rapid7 ay nakatagpo ng higit sa 80 milyong mga natatanging pampublikong IP (Internet Protocol) na tumutugon sa UPnP na mga kahilingan sa pagtuklas sa Internet, sa panahon ng pag-scan na ginanap noong nakaraang taon mula Hunyo hanggang Nobyembre. [

] [Karagdagang pagbabasa: Paano alisin ang malware mula ang iyong Windows PC]

Higit pa rito, natagpuan nila na 20 porsiyento, o 17 milyon, ng mga IP address na tumutugma sa mga device na naglalantad sa serbisyo ng UPnP SOAP (Simple Object Access Protocol) sa Internet. Ang serbisyong ito ay maaaring pahintulutan ang mga attacker na i-target ang mga system sa likod ng firewall at ilantad ang sensitibong impormasyon tungkol sa mga ito, ayon sa mga mananaliksik ng Rapid7.

Batay sa mga tugon ng pagtuklas ng UPnP ang mga mananaliksik ay may mga fingerprint natatanging device at tuklasin kung ano ang UPnP library na ginagamit nila. Natagpuan nila na higit sa isang-kapat ng mga ito ay may UPnP na ipinatupad sa pamamagitan ng isang aklatan na tinatawag na Portable UPnP SDK.

Ang walong remote exploitable kahinaan ay nakilala sa Portable UPnP SDK, kabilang ang dalawang na maaaring magamit para sa remote code pagpapatupad, sinabi ng mga mananaliksik. "

" Ang mga kahinaan na nakilala namin sa Portable UPnP SDK ay naayos na bilang ng bersyon 1.6.18 (inilabas ngayon), ngunit kakailanganin ng isang mahabang oras bago ang bawat isa sa mga application at mga vendor ng aparato isama ang patch na ito sa kanilang mga produkto, "Ang HD Moore, punong opisyal ng seguridad sa Rapid7, ay nagsabi sa Martes sa isang blog post.

Higit sa 23 milyong mga IP address mula sa mga kinilala sa panahon ng pag-scan ay tumutugma sa mga aparato na maaaring makompromiso sa pamamagitan ng mga kahinaan ng Portable UPnP SDK sa pamamagitan ng pagpapadala ng isang partikular na ginawa UDP packet sa kanila, ayon kay Moore.

Karagdagang mga kahinaan, kabilang ang mga maaaring magamit sa pagtanggi ng serbisyo at pag-atake ng malayuang pagpapatupad ng code, ay umiiral din sa isang UPnP library ca lled MiniUPnP. Kahit na ang mga kahinaan na ito ay natugunan sa mga bersyon ng MiniUPnP na inilabas noong 2008 at 2009, 14 porsiyento ng mga aparatong UPnP sa Internet ay gumagamit ng mahina na bersyon ng MiniUPnP 1.0, ang sabi ng Rapid7 na mga mananaliksik.

Iba pang mga isyu ay nakilala sa pinakabagong bersyon ng MiniUPnP, 1.4, ngunit hindi sila ibubunyag sa publiko hanggang sa ang developer ng library ay maglabas ng isang patch upang matugunan ang mga ito, sinabi nila.

"Lahat ng sinabi, nakilala namin ang higit sa 6,900 mga bersyon ng produkto na mahina sa pamamagitan ng UPnP," Sinabi ni Moore. "Ang listahan na ito ay sumasaklaw sa higit sa 1,500 vendor at kinuha lamang sa mga device na account na nakalantad sa UPnP SOAP serbisyo sa Internet, isang malubhang kahinaan sa at ng kanyang sarili."

Rapid7 nai-publish ng tatlong hiwalay na listahan ng mga produkto mahina laban sa Portable UPnP SDK flaws, MiniUPnP flaws, at kung saan ilantad ang serbisyong UPnP SOAP sa Internet.

Ang Belkin, Cisco, Netgear, D-Link at Asus, na lahat ay may mga mahina na aparato ayon sa mga listahan na inilathala ng Rapid7, ay hindi agad tumugon sa mga kahilingan para sa komento na ipinadala Martes.

Naniniwala si Moore na sa karamihan ng mga kaso networked devices na hindi na ang ibinebenta ay hindi ma-update at mananatiling nakalantad sa mga remote na pag-atake nang walang katiyakan maliban kung ang kanilang mga may-ari ay mano-manong hindi paganahin ang pag-andar ng UPnP o palitan ang mga ito.

"Ang mga natuklasan na ito ay nagpapatunay na ang maraming vendor ay hindi pa rin natutunan ang mga pangunahing kaalaman sa pagdidisenyo ng mga aparato na default isang ligtas at matibay na pagsasaayos, "sabi ni Thomas Kristensen, punong opisyal ng seguridad sa pananaliksik sa kahinaan at pangangasiwa ng Secunia. "Ang mga kagamitan na inilaan para sa mga direktang koneksyon sa Internet ay hindi dapat magpatakbo ng anumang mga serbisyo sa kanilang mga pampublikong interface sa pamamagitan ng default, lalo na hindi mga serbisyo tulad ng UPnP, na para lamang sa mga pinagkakatiwalaang mga network."

Naniniwala si Kristensen na marami sa mga mahina na device ay malamang na manatiling walang patpat hanggang sa sila ay mapalitan, kahit na ang kanilang mga tagagawa ay naglalabas ng mga update ng firmware.

Maraming mga gumagamit ng PC ay hindi kahit na i-update ang software ng PC na madalas nilang ginagamit at pamilyar, sinabi niya. Ang gawain ng paghahanap ng web interface ng isang mahina na network na aparato, pagkuha ng pag-update ng firmware at pagpunta sa buong proseso ng pag-update ay malamang na maging masyadong intimidating para sa maraming mga gumagamit, sinabi niya.

Ang Rapid7 papel na pananaliksik kasama ang mga rekomendasyon sa seguridad para sa mga nagbibigay ng serbisyo sa Internet, mga negosyo at mga gumagamit ng bahay.

Mga ISP ay pinayuhan na itulak ang mga update sa configuration o mga update sa firmware sa mga device ng subscriber upang huwag paganahin ang mga kakayahan ng UPnP o upang palitan ang mga device na iyon sa iba na naka-configure sa isang secure na paraan at huwag ilantad ang UPnP sa Internet.

"Dapat tiyakin ng mga gumagamit ng home at mobile na PC na ang pag-andar ng UPnP sa kanilang mga home routers at mga mobile broadband device ay hindi pinagana," sinabi ng mga mananaliksik.

Bilang karagdagan sa pagtiyak na walang naka-expose na aparato sa UPnP sa Internet, ang mga kumpanya ay pinayuhan na magsagawa ng maingat na pagrepaso sa mga potensyal na epekto sa seguridad ng lahat ng mga aparatong may kakayahang UPnP na natagpuan sa kanilang mga network - network printer, IP camera, mga sistema ng imbakan, at iba pa - at isaalang-alang ang pag-segment ng mga ito mula sa panloob na network hanggang ang isang pag-update ng firmware ay makukuha mula sa gumawa.

Rapid7 ay naglabas ng isang libreng tool na tinatawag na ScanNow para sa Universal Plug and Play, pati na rin ang isang module para sa Metasploit penetration testing framework, na maaaring magamit upang makita ang mga mahina na serbisyo ng UPnP na tumatakbo sa loob ng isang network.

Na-update noong 1:45 ng hapon PT upang itama ang petsa kung saan ang mga kahilingan para sa komento ay ipinadala sa mga kumpanya na may mga mahina na aparato.