數十億IoT設備驚爆漏洞,恐引發(fā)大規(guī)模資料外泄與攻擊

十輪網
依靠通用即插即用(Universal Plug and Play,UPnP)協(xié)議來發(fā)現其他設備并與之交互的數十億臺物聯網(IoT)和局域網絡(LAN)設備驚爆潛藏“CallStranger”安全漏洞,黑客可借此漏洞竊取資料、發(fā)動分布式拒絕服務攻擊(DDoS)或掃描連接端口。

依靠通用即插即用(Universal Plug and Play,UPnP)協(xié)議來發(fā)現其他設備并與之交互的數十億臺物聯網(IoT)和局域網絡(LAN)設備驚爆潛藏“CallStranger”安全漏洞,黑客可借此漏洞竊取資料、發(fā)動分布式拒絕服務攻擊(DDoS)或掃描連接端口。但凡Windows 10操作系統(tǒng)、Xbox One游戲主機,乃至各種型號的打印機、調制解調器、路由器與電視皆為眾多受此漏洞影響的產品之一。

根據CERT/CC安全公告指出,這個官方命名為CVE-2020-12695的漏洞,特別位于UPnP的訂閱(SUBSCRIBE)功能,并且是由攻擊者所控制的回呼(Callback)表頭值引起的,黑客最終可借此向任意目的地發(fā)送大規(guī)模的流量,進而引發(fā)DoS或DDoS狀況。

從這個意義來說,漏洞本質上類似服務器器端請求偽造(Server-Side Request Forgery,SSRF)漏洞,根據Yunusadirci創(chuàng)建網頁技術報告指出,他是安永土耳其(EY Turkey)網絡安全資深經理,并發(fā)現了這個漏洞。

惡意敵人可以利用CallStranger來繞過資料外泄防護(Data Loss Prevention,DLP)機制與網絡安全設備,最終將敏感資料傾泄而出,還可以利用各種聯網設備來發(fā)動“傳輸控制協(xié)議分布式拒絕服務攻擊”(TCP DDoS)并掃描連接端口。

CallStranger漏洞的最大風險在于資料外泄,同時也是發(fā)動DDoS的有效方法

“我們認為資料外泄會是CallStranger漏洞所可能引發(fā)的最大風險。為了確定過去任何威脅發(fā)動者是否曾使用這個安全漏洞,那么檢查日志就顯得格外重要,”adirci指出:“由于此漏洞可用來發(fā)動DDoS攻擊,所以我們認為僵尸網絡(Botnet)會開始借由端點用戶設備執(zhí)行這個新的攻擊手法。當前企業(yè)因為最新發(fā)現的UPnP漏洞而全面封鎖了在互聯網會有曝險可能的所有UPnP設備,所以我們不會看到從Internet到企業(yè)內部網絡(Intranet)的惡意連接端口掃描之舉,但是企業(yè)內網的連接端口掃描仍有安全疑慮。”

“這種UPnP SUBSCRIBE攻擊看來是對目標發(fā)動DDoS攻擊非常有效,雖然不如分布式內存緩存(Memcached)反射式攻擊,但比早期常見的SYN泛濫攻擊更具攻擊效益,它基于一個關鍵的錯誤配置,進而讓各種UPnP設備在互聯網上門戶大開。”安全風險情報解決方案商Rapid7研究總監(jiān)Tod Beardsley指出:“網絡服務供應商(ISP)確實在限制這類流量攻擊有更好的表現,它能對相關眾所周知的連接端口進行偵測與過濾。同樣的,潛在目標可以憑借黑客流量借由UPnP,而能輕松地防御這類攻擊流量,通常邊緣入侵防護系統(tǒng)(IPS)或次世代防火墻(NFGW)可以輕松識別并阻擋入侵流量。”

“至于資料外泄方面,同樣很容易防范,只要不開放UPnP即可,”Beardsley繼續(xù)指出:“當然,如果你已經開放UPnP,你有可能是不經意這么做的,而且很可能完全沒有意識到自己完全曝險在網絡。”

OCF早在去年底就發(fā)現漏洞,但因廠商/ ISP要求直到本周一才公布

開放互聯基金會(Open Connectivity Foundation,OCF)在去年12月20日便已收到了這個安全漏洞的警報,并于4月17日通過UPnP標準的更新來修補這個安全疑慮。然而,應各家供應商與ISP的要求,漏洞直到8日才公開披露。事實上,所有受影響的制造商可能需要花費一些時間才能修補UPnP堆棧。

除了下載新UPnP標準,如果沒有商業(yè)用途,強烈建議用戶務必在Internet可訪問接口禁用此協(xié)議,因為在Internet使用UPnP仍然會有潛在安全風險。

“同時,設備制造商被強烈要求在默認配置禁用UPnP SUBSCRIBE功能,并要求用戶在SUBSCRIBE明確激活任何適當的網絡限制機制,以便將相關使用限制在可信任的局域網絡。”CERT/CC寫道。再者,adirci技術報告還為家庭用戶、ISP、供應商和企業(yè)也提供額外建議。

其他確定受到影響的產品包括:ADB TNR-5720SX Box多媒體播放機、華碩無線音樂流媒體器(ASUS Media Streamer)、Belkin WeMo智能插座、Trendnet TV- IP551W網絡攝影機、Broadcom ADSL調制解調器;Asus Rt-N11、Cisco X1000、Cisco X3500、D-Link DVG-N5412SP WPS、華為HG255s、TP-Link TL-WA801ND、NEC AccessTechnica WR8165N及Zyxel VMG8324-B10A等路由器;佳能Canon SELPHY CP1200、EPSON EP/EW/XP系列、HP Deskjet / Photosmart / Officejet / ENVY系列等打印機;飛利浦2k14MTK、三星UE55MU7000、三星MU8000等智能電視。

(首圖來源:shutterstock)

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論