UPnP漏洞影响了数十亿台设备
安全专家披露了一个新的UPnP漏洞,名为Call Stranger,它影响了数十亿台设备,并可能被用于各种恶意活动。这会影响数十亿台设备,攻击者可以利用它进行多种恶意活动,包括分布式拒绝服务(DDoS)攻击和数据过滤。
通用即插即用(UPnP)是一套网络协议,允许网络设备(如个人计算机、打印机、互联网网关、Wi-Fi接入点和移动设备)无缝发现彼此在网络上的存在,并为数据共享、通信建立功能性网络服务,还有娱乐。
根据CERT协调中心(CERT/CC),2020年4月17日之前生效的UPnP协议可以被滥用,使用订阅功能向任意目的地发送流量。
“UPnP订阅功能中的漏洞允许攻击者将大量数据发送到可通过Internet访问的任意目标,这可能导致分布式拒绝服务(DDoS)、数据过滤和其他意外的网络行为。”CERT/CC发布的警报中写道。“OCF已经更新了UPnP规范来解决这个问题。此漏洞已分配给CVE-2020-12695,也称为Call陌生人。”
为缓解此问题,制造商应在默认配置中禁用UPnP订阅功能,并确保需要明确的用户同意才能启用具有任何适当网络限制的订阅。专家们还建议在在线曝光的设备上禁用UPnP协议。
研究人员认为僵尸网络可能很快就会开始利用这一缺陷发动DDoS攻击,攻击终端用户设备。
“因为它也可以用于DDoS,我们预计僵尸网络将开始通过消费终端用户设备来实现这项新技术。由于最新的UPnP漏洞,企业屏蔽了暴露在Internet上的UPnP设备,因此我们不希望看到从Internet到Intranet的端口扫描,但Intranet2Intranet可能是一个问题。”专家总结道。
