安全研究人员发现IoT设备依赖的UPnP协议存在安全漏洞,可让黑客用来扫描网络、窃密,或是以物联网用来助长分布式拒绝服务攻击(DDoS)。
编号CVE-2020-12695的漏洞是由土耳其研究人员YunusÇadirci发现,和UPnP协议有关。UPnP跑在UDP port 1900端口及TCP端口,用于物联网设备寻找与控制的局域网络(LAN)上其他邻近设备的网络协议。但是UPnP协议是为受信赖的LAN设备而设计,因此缺少流量验证机制,不良默认可能给远程攻击者下手的机会。
研究人员发现UPnP SUBSCRIBE功能中的Callback header值可能被攻击者操控,而造成了类似服务器端的请求伪造(Server-Side Request Forgery,SSRF)漏洞,又被称为CallStranger。CallStranger可被用来造成多种攻击,像是绕过资料泄露防护(DLP)及网络安全设备,引发信息外泄、从连上互联网的UPnP设备扫描LAN网络的传输端口,或是以这些UPnP设备为基地造成进一步、规模更大的反射式TCP DDoS攻击。讲得明白点,就是这些家用或企业产品,可能被用来发动DDoS攻击。
Çadirci指出,全球数十亿联网产品,包括路由器、计算机、打印机、游戏机、TV、IP摄影机甚至对讲机等,都受CallStranger漏洞影响。
研究人员发现本漏洞后,于去年12月首度联系标准制订组织开放联网协议(Open Connectivity Foundation,OCF),后者今年4月才发布新版规格,而且由于这是存在于UPnP本身的漏洞,相关厂商也花了好一段时间来修补。
ISP和DSL/缆线路由器厂商应检查其产品的UPnP协议,厂商应升级新版规格以修补SUBSCRIBE功能。ISP则可以关闭由外部网络的UPnP Control & Eventing传输端口。企业用户应在设备厂商升级前,实施网络深度防御措施。至于一般家用户,研究人员表示不需关闭UPnP,只是要确保UPnP设备没有暴露在互联网上。
这不是UPnP第一次传出漏洞问题。2018年安全厂商Imperva发现UPnP协议的UPnProxy漏洞,可能让黑客用来发动高端持续性渗透(APT)攻击或是分布式拒绝服务攻击(DDoS)。