依靠通用即插即用(Universal Plug and Play,UPnP)协议来发现其他设备并与之交互的数十亿台物联网(IoT)和局域网络(LAN)设备惊爆潜藏“CallStranger”安全漏洞,黑客可借此漏洞窃取资料、发动分布式拒绝服务攻击(DDoS)或扫描连接端口。但凡Windows 10操作系统、Xbox One游戏主机,乃至各种型号的打印机、调制解调器、路由器与电视皆为众多受此漏洞影响的产品之一。
根据CERT/CC安全公告指出,这个官方命名为CVE-2020-12695的漏洞,特别位于UPnP的订阅(SUBSCRIBE)功能,并且是由攻击者所控制的回呼(Callback)表头值引起的,黑客最终可借此向任意目的地发送大规模的流量,进而引发DoS或DDoS状况。
从这个意义来说,漏洞本质上类似服务器器端请求伪造(Server-Side Request Forgery,SSRF)漏洞,根据Yunusadirci创建网页技术报告指出,他是安永土耳其(EY Turkey)网络安全资深经理,并发现了这个漏洞。
恶意敌人可以利用CallStranger来绕过资料外泄防护(Data Loss Prevention,DLP)机制与网络安全设备,最终将敏感资料倾泄而出,还可以利用各种联网设备来发动“传输控制协议分布式拒绝服务攻击”(TCP DDoS)并扫描连接端口。
CallStranger漏洞的最大风险在于资料外泄,同时也是发动DDoS的有效方法
“我们认为资料外泄会是CallStranger漏洞所可能引发的最大风险。为了确定过去任何威胁发动者是否曾使用这个安全漏洞,那么检查日志就显得格外重要,”adirci指出:“由于此漏洞可用来发动DDoS攻击,所以我们认为僵尸网络(Botnet)会开始借由端点用户设备执行这个新的攻击手法。当前企业因为最新发现的UPnP漏洞而全面封锁了在互联网会有曝险可能的所有UPnP设备,所以我们不会看到从Internet到企业内部网络(Intranet)的恶意连接端口扫描之举,但是企业内网的连接端口扫描仍有安全疑虑。”
“这种UPnP SUBSCRIBE攻击看来是对目标发动DDoS攻击非常有效,虽然不如分布式内存缓存(Memcached)反射式攻击,但比早期常见的SYN泛滥攻击更具攻击效益,它基于一个关键的错误配置,进而让各种UPnP设备在互联网上门户大开。”安全风险情报解决方案商Rapid7研究总监Tod Beardsley指出:“网络服务供应商(ISP)确实在限制这类流量攻击有更好的表现,它能对相关众所周知的连接端口进行侦测与过滤。同样的,潜在目标可以凭借黑客流量借由UPnP,而能轻松地防御这类攻击流量,通常边缘入侵防护系统(IPS)或次世代防火墙(NFGW)可以轻松识别并阻挡入侵流量。”
“至于资料外泄方面,同样很容易防范,只要不开放UPnP即可,”Beardsley继续指出:“当然,如果你已经开放UPnP,你有可能是不经意这么做的,而且很可能完全没有意识到自己完全曝险在网络。”
OCF早在去年底就发现漏洞,但因厂商/ ISP要求直到本周一才公布
开放互联基金会(Open Connectivity Foundation,OCF)在去年12月20日便已收到了这个安全漏洞的警报,并于4月17日通过UPnP标准的更新来修补这个安全疑虑。然而,应各家供应商与ISP的要求,漏洞直到8日才公开披露。事实上,所有受影响的制造商可能需要花费一些时间才能修补UPnP堆栈。
除了下载新UPnP标准,如果没有商业用途,强烈建议用户务必在Internet可访问接口禁用此协议,因为在Internet使用UPnP仍然会有潜在安全风险。
“同时,设备制造商被强烈要求在默认配置禁用UPnP SUBSCRIBE功能,并要求用户在SUBSCRIBE明确激活任何适当的网络限制机制,以便将相关使用限制在可信任的局域网络。”CERT/CC写道。再者,adirci技术报告还为家庭用户、ISP、供应商和企业也提供额外建议。
其他确定受到影响的产品包括:ADB TNR-5720SX Box多媒体播放机、华硕无线音乐流媒体器(ASUS Media Streamer)、Belkin WeMo智能插座、Trendnet TV- IP551W网络摄影机、Broadcom ADSL调制解调器;Asus Rt-N11、Cisco X1000、Cisco X3500、D-Link DVG-N5412SP WPS、华为HG255s、TP-Link TL-WA801ND、NEC AccessTechnica WR8165N及Zyxel VMG8324-B10A等路由器;佳能Canon SELPHY CP1200、EPSON EP/EW/XP系列、HP Deskjet / Photosmart / Officejet / ENVY系列等打印机;飞利浦2k14MTK、三星UE55MU7000、三星MU8000等智能电视。
(首图来源:shutterstock)