通用即插即用(UPnP)中的漏洞(CVE-2020-12695),已在数十亿个联网和IoT设备(个人计算机,打印机,移动设备,路由器,游戏机,Wi-Fi接入点等)中实现on –可能允许未经身份验证的远程攻击者窃取数据,扫描内部网络或使设备参与DDoS攻击。
关于UPnP
UPnP是一组网络协议,允许联网的设备在同一网络上时自动发现彼此并进行交互。
UPnP主要用于住宅和SOHO无线网络。它被设计用于受信任的局域网(LAN),因此该协议不实现任何形式的身份验证或验证。这就是某些UPnP设备出厂时默认关闭协议的原因之一,如果需要,则由管理员启用该协议。
UPnP协议的开发由开放连接基金会(OCF)进行管理,OCF是一个标准组织,其目标是促进已连接设备的互操作性。
关于漏洞(CVE-2020-12695)
CVE-2020-12695(又名“ CallStranger”)是由安全研究员YunusÇadırcı发现的,并于2019年末私下向OFC报告。
“漏洞(…)是通过在UPnP的回调头值引起SUBSCRIBE函数可以被攻击者控制,并且使得能够SSRF状漏洞影响数百万因特网的面向并十亿LAN设备的,”Çadırcı 解释。
此处提供了更多技术细节,但总而言之,该漏洞可用于绕过DLP和网络安全设备来窃取数据,扫描内部端口,并迫使数百万个面向Internet的UPnP设备成为放大的反射式TCP DDoS的来源。
现在怎么办?
开放连接基金会(Open Connectivity Foundation)修复了该漏洞,并于2020年4月17日更新了UPnP规范。他们还联系了一些受影响的供应商(Çadırcı的报告中包括了这些供应商)。
Shodan的搜索显示,大约有550 万台启用UPnP的面向Internet的设备。
经确认易受攻击的设备包括运行Windows 10的计算机,Xbox One,Belkin WeMo家庭自动化设备,佳能,惠普和爱普生制造的打印机,三星智能电视,博通制造的路由器和调制解调器,思科,D-Link,华为,合勤等更多设备。
CMU的软件工程学院还发布了CVE-2020-12695 的漏洞注释,并将对其进行更新以列出受影响的设备以及指向可用修补程序的链接。他们还指出,通常应避免在Internet上提供UPnP。
他们建议:“敦促设备制造商在其默认配置中禁用UPnP SUBSCRIBE功能,并要求用户使用任何适当的网络限制明确启用SUBSCRIBE,以将其使用限制在受信任的局域网中。”
“敦促供应商执行OCF提供的更新规范。用户应监视供应商支持渠道以了解实现新的SUBSCRIBE规范的更新。”
Çadırcı指出,由于CallStranger是一个协议漏洞,因此供应商可能需要很长时间才能提供补丁。
“家庭用户不应直接成为目标。如果他们面向互联网的设备具有UPnP端点,则他们的设备可以用于DDoS源。”
他建议企业检查他们使用的设备是否易受攻击,并提供了可以帮助他们做到这一点的脚本,并列出了可以执行的缓解措施。
“我们认为数据泄露是CallStranger的最大风险。如果过去曾有威胁者使用过日志,那么检查日志至关重要。“由于它也可以用于DDoS,我们希望僵尸网络将通过使用最终用户设备来开始实施这项新技术。由于存在最新的UPnP漏洞,企业阻止了Internet公开的UPnP设备,因此我们不希望看到从Internet到Intranet的端口扫描,但可能是从Intranet到Intranet的端口扫描。”
*编译:Domino
*来自:helpnetsecurity