4006-555-883

CallStranger UPnP漏洞影响了数十亿台设备

发布时间:2020-06-10 11:11:00

  安全专家披露了一个新的UPnP漏洞,名为Call Stranger,它影响了数十亿台设备,并可能被用于各种恶意活动。这会影响数十亿台设备,攻击者可以利用它进行多种恶意活动,包括分布式拒绝服务(DDoS)攻击和数据过滤。



  通用即插即用(UPnP)是一套网络协议,允许网络设备(如个人计算机、打印机、互联网网关、Wi-Fi接入点和移动设备)无缝发现彼此在网络上的存在,并为数据共享、通信建立功能性网络服务,还有娱乐。

  根据CERT协调中心(CERT/CC),2020年4月17日之前生效的UPnP协议可以被滥用,使用订阅功能向任意目的地发送流量。

  “UPnP订阅功能中的漏洞允许攻击者将大量数据发送到可通过Internet访问的任意目标,这可能导致分布式拒绝服务(DDoS)、数据过滤和其他意外的网络行为。”CERT/CC发布的警报中写道。“OCF已经更新了UPnP规范来解决这个问题。此漏洞已分配给CVE-2020-12695,也称为Call陌生人。”

  该漏洞被跟踪为CVE-2020-12695,攻击者可以向在线暴露的任意目的地发送大量数据。

  该漏洞被跟踪为CVE-2020-12695,称为Call陌生人,可被未经验证的远程攻击者滥用,以执行DDoS攻击、绕过安全系统和渗出数据,并扫描内部端口。

  专家指出,尽管UPnP服务不应该在互联网上公开,但最近的Shodan扫描显示,有数以百万计的设备在网上公开它们。

  Call陌生人的缺陷是由来自土耳其的尤努斯·切克发现的。

  CallStranger漏洞是由于UPnP SUBSCRIBE函数中的回调头值可以由攻击者控制,它启用了类似SSRF的漏洞,该漏洞会影响Internet上公开的数百万设备和数十亿LAN设备。

  切卡德解释说,漏洞可用于:

  •   绕过DLP和网络安全设备来过滤数据
  •   使用数百万面向互联网的UPnP设备作为放大反射TCP DDoS的来源(与https://www.cloudflare.com/learning/ddos/ssdp-ddos-attack/)
  •   从面向Internet的UPnP设备扫描内部端口
  •   供应商可以通过实现更新的开放连接基金会(OCF)UPnP协议规范来缓解Callstranger问题。

  不幸的是,这个CVE-2020-12695问题是一个协议漏洞,这意味着供应商可能需要很长时间才能发布安全补丁。

  为缓解此问题,制造商应在默认配置中禁用UPnP订阅功能,并确保需要明确的用户同意才能启用具有任何适当网络限制的订阅。专家们还建议在在线曝光的设备上禁用UPnP协议。

  upnp公司

  研究人员认为僵尸网络可能很快就会开始利用这一缺陷发动DDoS攻击,攻击终端用户设备。

  “因为它也可以用于DDoS,我们预计僵尸网络将开始通过消费终端用户设备来实现这项新技术。由于最新的UPnP漏洞,企业屏蔽了暴露在Internet上的UPnP设备,因此我们不希望看到从Internet到Intranet的端口扫描,但Intranet2Intranet可能是一个问题。”专家总结道。

  已确认的易受攻击设备列表包括Windows PC、Xbox One-OS版本10.0.19041.2494、华硕、贝尔金、博通、思科、戴尔、D-Link、华为、Netgear、三星、TP-Link、中兴等的电视和网络设备。

  【参考来源:securityaffairs,图片来源于网络,侵删】

最新发布
1
超1.7亿条个人信息遭泄露,这2种证书可守护你的App数据安全
2
新型诈骗惊动高层!银保监会紧急发布风险提示 SSL证书价值凸显
3
《网络安全法》实施五周年,加快推进国密改造提升网络空间安全
4
政府机构频遭黑客攻击,国密改造亟需加快推进
5
普京签署特殊“总统令”,关键信息基础设施成各国网络空间博弈主战场
6
首都网络安全日 | 数字经济时代,如何守护我们的网络安全?
7
俄罗斯5.8 TB数据遭黑客泄露,关键基础设施安全亟待加强
8
中共中央办公厅 国务院办公厅发文加强打击网络诈骗,SSL证书网络防护作用凸显
9
警惕!银行系统漏洞频发,国密改造亟需加快推进
10
4·15国家安全教育日 | 网络安全,你我共建
相关推荐
9800余起!公安部公布2021年侵犯个人信息案例,保护信息安全任重道远
俄罗斯5.8 TB数据遭黑客泄露,关键基础设施安全亟待加强
《网络安全法》实施五周年,加快推进国密改造提升网络空间安全
Tengine+BabaSSL强强联合,vTrus证书大有可为
2月15日起施行!国家密码管理局等十三部门修订发布《网络安全审查办法》
新型诈骗惊动高层!银保监会紧急发布风险提示 SSL证书价值凸显
警惕!银行系统漏洞频发,国密改造亟需加快推进
Twitter流量疑遭俄罗斯劫持!防劫持保安全SSL证书不可或缺
央视专题报道,2亿多网民遭遇信息泄露,如何应对网络安全“重灾区”?
红十字会网站超51万人信息被盗,加强网络安全时刻不能放松