信息化觀察網(wǎng)

研究人員在物聯(lián)網(wǎng)核心協(xié)議——UPNP協(xié)議中發(fā)現(xiàn)一個嚴(yán)重的安全漏洞——CallStranger，漏洞CVE編號為CVE-2020-12695。CallStranger 漏洞位于數(shù)十億UPNP（Universal Plug and Play，通用即插即用）設(shè)備中，可以用來竊取數(shù)據(jù)或掃描內(nèi)部網(wǎng)絡(luò)，攻擊者利用該漏洞可以劫持智能設(shè)備發(fā)起DDoS攻擊，還可以繞過安全解決方案對受害者內(nèi)部網(wǎng)絡(luò)進(jìn)行掃描。

UPnP特征允許設(shè)備在本地網(wǎng)絡(luò)中可以看到對方，然后建立連接來交換數(shù)據(jù)、配置、和進(jìn)行同步。UPnP 大約是2000年初引入的，但從2016年開始，其開發(fā)就由Open Connectivity Foundation (OCF)來進(jìn)行管理的。

CVE-2020-12695漏洞分析

漏洞是由UPnP SUBSCRIBE 函數(shù)中的Callback header 值引發(fā)的，有點(diǎn)類似SSRF漏洞，影響數(shù)百萬聯(lián)網(wǎng)的局域網(wǎng)設(shè)備。攻擊者利用該漏洞可以：

· 繞過DLP和網(wǎng)絡(luò)安全設(shè)備來竊取數(shù)據(jù)；

· 使用數(shù)百萬聯(lián)網(wǎng)的UPnP 設(shè)備作為源來發(fā)起放大反射型TCP DDoS攻擊；

· 利用聯(lián)網(wǎng)的UPnP設(shè)備來掃描網(wǎng)絡(luò)內(nèi)部接口。

由于是協(xié)議漏洞，因此廠商可能需要花費(fèi)一段時間來開發(fā)補(bǔ)丁。OCF在4月17日更新了UPnP的說明文檔來修復(fù)該漏洞，最新說明文檔參見https://openconnectivity.org/upnp-specs/UPnP-arch-DeviceArchitecture-v2.0-20200417.pdf

漏洞影響

漏洞的實(shí)際影響

研究人員認(rèn)為數(shù)據(jù)竊取可能是CallStranger漏洞最大的現(xiàn)實(shí)威脅?？梢酝ㄟ^檢查日志的方式來查看是否之前已經(jīng)受到攻擊者的攻擊。

因?yàn)樵撀┒匆部梢员挥脕戆l(fā)起DDoS攻擊，研究人員猜測僵尸網(wǎng)絡(luò)攻擊者近期會開始利用該漏洞將終端用戶設(shè)備納入到僵尸網(wǎng)絡(luò)中。

代碼執(zhí)行漏洞？

該漏洞確實(shí)與代碼執(zhí)行有關(guān)。研究人員在有些設(shè)備上發(fā)現(xiàn)了緩沖區(qū)溢出的問題，但這并不在本研究的范圍之內(nèi)。

受影響的設(shè)備

由于該漏洞是協(xié)議漏洞，幾乎所有的UPnP設(shè)備都受到該漏洞的影響，包括數(shù)十億本地網(wǎng)絡(luò)中的UPnP設(shè)備和數(shù)百萬聯(lián)網(wǎng)的UPnP設(shè)備。可以通過以下工具來檢查是否受到該漏洞的影響，參見https://github.com/yunuscadirci/CallStranger

受影響的設(shè)備既包括Windows Xbox，電視和路由器也受到該漏洞的影響。

確認(rèn)受影響的設(shè)備有：

· Windows 10 (所有 windows 版本) - upnphost.dll 10.0.18362.719

· Xbox One- OS Version 10.0.19041.2494

· ADB TNR-5720SX Box (TNR-5720SX/v16.4-rc-371-gf5e2289 UPnP/1.0 BH-upnpdev/2.0)

· Asus ASUS Media Streamer

· Asus Rt-N11

· Belkin WeMo

· Broadcom ADSL Modems

· Canon Canon SELPHY CP1200 Printer

· Cisco X1000 - (LINUX/2.4 UPnP/1.0 BRCM400/1.0)

· Cisco X3500 - (LINUX/2.4 UPnP/1.0 BRCM400/1.0)

· D-Link DVG-N5412SP WPS Router (OS 1.0 UPnP/1.0 Realtek/V1.3)

· EPSON EP, EW, XP Series (EPSON_Linux UPnP/1.0 Epson UPnP SDK/1.0)

· HP Deskjet, Photosmart, Officejet ENVY Series (POSIX, UPnP/1.0, Intel MicroStack/1.0.1347)

· Huawei HG255s Router - Firmware HG255sC163B03 (ATP UPnP Core)

· NEC AccessTechnica WR8165N Router ( OS 1.0 UPnP/1.0 Realtek/V1.3)

· Philips 2k14MTK TV - Firmware TPL161E_012.003.039.001

· Samsung UE55MU7000 TV - Firmware T-KTMDEUC-1280.5, BT - S

· Samsung MU8000 TV

· Siemens CNE1000 Camera

· Sony Media Go Media application

· Stream What You Hear Stream What You Hear

· Toshiba TCC-C1 Media Device

· TP-Link Archer C50

· Trendnet TV-IP551W

· Ubiquiti UniFi Controller

· ZTE ZXV10 W300

· ZTE H108N

· Zyxel AMG1202-T10B

待外部（廠商）確認(rèn)的受影響的設(shè)備有：

· Dell B1165NFW

· LG Smartshare Media Application

· Netgear WNHDE111 Access Point

· Nokia HomeMusic Media Device

· Panasonic BB-HCM735 Camera

· Panasonic VL-MWN350 wireless doorphone

· Plutinosoft Dynamic UPnP stack

· Ruckus Zone Director Access Point

漏洞PoC代碼參見：https://github.com/yunuscadirci/CallStranger