วันพุธที่ 30 มกราคม พ.ศ. 2556

ข้อบกพร่อง UPnP ล้านสถานที่ของเครือข่ายตกอยู่ในอันตราย

Rick Burgess, TechSpot, 29 ม.ค. 2556


TechSpot - ช่องโหว่ความปลอดภัยจำนวนมากถูกพบกับการใช้งานทั่วไปภายใน UPnP ทั่วไปได้แจ้งผู้เชี่ยวชาญที่ Rapid 7 เพื่อแนะนำภาคสาธารณะปิดการใช้งาน UPnP ทั้งหมด การวิจัยทอดนานหลายเดือนในปี 2555 พบว่าร้อยละกว่า 2 - หรือประมาณ 50 ล้าน - จากเครือข่าย IPv4 ทั้งหมดที่สามารถเข้าถึงได้เครือข่าย IPv4 จะเสียหายหนึ่งในสามข้อบกพร่องที่ระบุไว้ในเอกสาร (มีข้อบกพร่องทั้งหมดแปดข้อ) ช่องโหว่เหล่านี้ช่วยให้แฮกเกอร์เข้าถึงเครือข่ายหรือแม้กระทั่งการเรียกใช้ คำสั่ง ในความเป็นจริง คำสั่งทางไกลประมวลผลผิดพลาดที่มีผลต่อการ 23 ล้านเครือข่ายและสามารถเรียกโดยการส่ง UDP แพคเกตเดียว

UPnP เป็นเทคโนโลยี zero-config ที่จะช่วยให้ซอฟต์แวร์และอุปกรณ์เพื่อเรียกอัตโนมัติให้เปิดและส่งต่อของ พอร์ตในอุปกรณ์จัดการบนเครือข่าย (เช่น เกตเวย์, เราเตอร์, สวิตช์เชิงพาณิชย์) ที่บ้าน UPnP เป็นประโยชน์อย่างยิ่งสำหรับแม่ข่ายเกม ไฟล์แบ่งปันและการใช้โปรแกรมประยุกต์ P2P ที่เป็นการบริการที่ขึ้นอยู่กับการเชื่อมต่อเข้ามา แต่ไม่ได้ใช้แม่ข่ายตัวกลาง โดยปราศจาก UPnP ผู้ใช้ต้องกำหนดค่าคอนฟิกพอร์ตส่งต่อด้วยตนเองและกำหนด IP address ผ่านเราเตอร์และโปรแกรมบริหาร firewall

ตามที่นักวิจัยด้านความปลอดภัยรายงานว่า มี IPv4 address ไม่ซ้ำกัน 81 ล้านที่อยู่ ตอบสนองทางไกลกับ UPnP ร้องขอ UPnP ที่ค้นพบ 81 ล้านที่อยู่มีประมาณร้อยละ 20 อนุญาตการเข้าถึง SOAP ผลทำให้รู้สึกไม่มั่นคง เมื่อคุณพิจารณาการอนุญาตนี้สามารถยอมให้แฮกเกอร์เข้าถึงทางไกลไปยังอุปกรณ์ เครือข่ายที่อยู่เบื้องหลังเราเตอร์ พฤติกรรม ที่อาจรวมถึง stack overflow คำสั่งประมวลผลจากระยะไกลและการเข้าถึงไม่ได้รับอนุญาตไปยังการอินเตอร์เฟซ จัดการเครือข่าย และแม้กระทั่งเครือข่ายตัวเอง

Portable UPnP หนึ่งในสี่ของไลบรารี UPnP หลักได้รับผลกระทบ แพทช์ที่ออกในวันนี้ซึ่งจะช่วยแก้ปัญหาเหล่านี้ อย่างไรก็ตาม ขึ้นกับผู้จัดจำหน่ายอุปกรณ์ (เช่น D-Link, Linksys ฯลฯ) รวมการแก้ไขการรักษาความปลอดภัยดังกล่าวใน firmware ของพวกเขาและแจกจ่ายให้กับผู้ใช้ของตัวเอง ด้วยเหตุนี้ อุปกรณ์มากมายที่ได้รับการสนับสนุนอีกต่อไปจะยังคงที่ไม่มีการป้องกันอย่าง ไม่มีกำหนด

ไม่แน่ใจว่า ถ้าอุปกรณ์ของคุณได้รับผลกระทบโดยหนึ่งในข้อบกพร่อง? Rapid7 กำลังเสนอเป็นโปรแกรมอำนวยความสะดวกฟรีเพื่อตรวจสอบความปลอดภัยของการดำเนิน งาน UPnP เครือข่ายของคุณ มีการร้องเรียนจำนวนมากเกี่ยวกับการดาวน์โหลด ติดตั้ง และใช้งานสแกนเนอร์นี้ว่า ระยะของคุณอาจแตกต่างกันไปจนกว่าพวกเขาจะรับการแก้ไขข้อบกพร่อง ถ้าคุณไม่แน่ใจหรือไม่ต้องการที่จะใช้โอกาสใด ๆ ในปิด UPnP อาจเป็นวิธีที่จะเป็นไป
เขียนโดย ที่
ป้ายกำกับ: , , ,

ไม่มีความคิดเห็น:

แสดงความคิดเห็น

สมัครสมาชิก: ส่งความคิดเห็น (Atom)