外国有安全研究员发现物联网(IoT)设备依赖的UPnP(Universal Plug and Play)协议存在安全漏洞,黑客能够扫描网络、窃密,甚至利用物联网助长分布式拒绝服务攻击(DDoS)。
UPnP协议让物联网设备在局域网络上寻找并控制其他设备,但被发现缺乏良好的流量验证机制,给黑客有机可乘。这个官方命名为CVE-2020-12695的漏洞,由土耳其的安全研究员YunusÇadirci发现,UPnP SUBSCRIBE功能中的Callback header值可能会被黑客操控,造成类似服务器端的请求伪造(Server-Side Request Forgery,SSRF)漏洞,黑客可利用漏洞造成多种攻击,例如绕过资料泄露防护(DLP)及网络安全设备,引发资料外泄,或者被利用作发动DDoS攻击。
YunusÇadirci指出,全球数十亿联网产品,包括计算机、打印机、游戏机、电视、对讲机等,都会受到这个漏洞影响。信息安全公司Rapid7研究总监Tod Beardsley回应指,用户要防范资料外泄,只要不开放UPnP便可;假如用户已经开放UPnP,很可能没有意识到自己已经暴露在网络世界中。