近日,美国政府发布了一个安全公告称,目前正在电子设备中使用的通用即插即用(英文:Universal Plug and Play,简称UPnP)功能,存在着很多的安全漏洞。而由于UPnP功能是家庭、办公电子设备中常见的一种网络协议,现正被广泛应用于电脑、路由器、打印机、存储装置等设备上,因此极易受到黑客的攻击。那么面对波及面如此之广的安全隐患,我们该如何应对,才能避免受到侵害呢?
UPnP安全漏洞波及全球设备
日前网络安全测试公司Rapid7表示,他们在近半年的时间内扫描所有可路由的IPv4地址,发现有8100万个UPnP标准发起了响应(UPnP设备本不应该与外网通信的)。现在研究人员已经从UPnP技术标准中找出了三个相互独立的安全漏洞,它们将导致全球4000-5000万台设备处于易被攻击状态。
而黑客可以通过互联网,利用这些安全漏洞入侵家庭或企业网络,进而获取文件、密码、权限,包括对这些设备进行远程操控。
研究人员发现1500多家厂商的6900多种产品型号包含至少一种已知漏洞,2300万系统存在相同的远程代码执行漏洞。目前已有几十个设备制造商收到了美国政府通知,其中包括思科、Netgear公司、索尼、西门子、贝尔金等,但目前尚未收到来自制造商的回复,也没有相关的更新补丁。
Rapid7的CTO莫尔表示,“这是至今发现的范围最广泛的漏洞,虽然目前黑客尚未大规模地利用UPnP漏洞实施攻击,但这显然是潜在的安全隐患,为了敦促设备商们修补这些漏洞,我们才决定公布这些漏洞。”
而据最新的消息,安全公司DefenseCode的研究人员又发现,该漏洞存在于博通芯片的UPnP堆栈中,因此采用博通芯片并支持UPnP协议的设备均有存在该漏洞的可能,波及面广阔。
什么是UPnP协议?
UPnP协议的目标是使家庭网络(数据共享、通信和娱乐)和公司网络中的各种设备能够相互无缝连接,并简化相关网络的实现。UPnP通过定义和发布基于开放、因特网通讯网协议标准的UPnP设备控制协议来实现这一目标。
通用即插即用(UPnP)协议
UPnP这个概念是从即插即用(Plug-and-play),即热拔插技术中派生而来的。UPnP协议简化了家庭网络和企业局域网中各种设备连接,使内网中任意两个设备能互相通信,而不需要特别配置。
2如何应对防御UPnP漏洞
如何应对防御UPnP漏洞
对于UPnP安全漏洞来说,因为很多网络设备出厂时都是默认开启这个即插即用功能的,因此我们需要手动关闭UPnP功能。以无线路由器为例,需要进入到它的Web配置界面里进行调整。
手动关闭UPnP功能
首先将设备LAN口与计算机相连,在浏览器中键入其登陆IP地点,通过键入用户名、密码,即可登陆Web配置界面了。一般路由器的UPnP功能可在“高级”选项中找到,用户只需将勾中的选项去除即可。
UPnP即插即用曝安全漏洞
现在Rapid7公司已经发布了一个针对“移动UPnP SDK”的漏洞补丁,来应对UPnP安全漏洞。但他们也提到,将该补丁应用于更多的受波及设备上,还需要同各个设备制造商进行协商,恐怕耗时久远。
因此,目前我们建议的可行有效之法就禁用路由器、打印机和摄像机的UPnP(通用即插即用)功能,来避免受到黑客的非法入侵了。
