依靠通用随插即用(Universal Plug and Play,UPnP)协定来发现其他装置并与之互动的数十亿台物联网(IoT)和局域网络(LAN)装置惊爆潜藏“CallStranger”安全漏洞,骇客可借此漏洞窃取资料、发动分散式阻断服务攻击(DDoS)或扫描连接埠。举凡 Windows 10 操作系统、Xbox One 游戏主机,乃至各种型号的打印机、调制解调器、路由器与电视皆为众多受此漏洞影响的产品之一。
根据 CERT/CC 安全公告指出,这个官方命名为 CVE-2020-12695 的漏洞,特别位于 UPnP 的订阅(SUBSCRIBE)功能,并且是由攻击者所控制的回呼(Callback)表头值引起的,骇客最终可借此向任意目的地发送大规模的流量,进而引发 DoS 或 DDoS 状况。
从这个意义来说,漏洞本质上类似服务器器端请求伪造(Server-Side Request Forgery,SSRF)漏洞,根据 Yunus Çadirci 建立网页技术报告指出,他是安永土耳其(EY Turkey)网络安全资深经理,并发现了这个漏洞。
恶意敌人可以利用 CallStranger 来绕过资料外泄防护(Data Loss Prevention,DLP)机制与网络安全装置,最终将敏感资料倾泄而出,还可以利用各种连网装置来发动“传输控制协定分散式阻断服务攻击”(TCP DDoS)并扫描连接埠。
CallStranger 漏洞的最大风险在于资料外泄,同时也是发动 DDoS 的有效方法
“我们认为资料外泄会是 CallStranger 漏洞所可能引发的最大风险。为了确定过去任何威胁发动者是否曾使用这个安全漏洞,那么检查日志就显得格外重要,”Çadirci 指出:“由于此漏洞可用来发动 DDoS 攻击,所以我们认为僵尸网络(Botnet)会开始借由端点使用者装置执行这个新的攻击手法。当前企业因为最新发现的 UPnP 漏洞而全面封锁了在互联网会有曝险可能的所有 UPnP 装置,所以我们不会看到从 Internet 到企业内部网络(Intranet)的恶意连接埠扫描之举,但是企业内网的连接埠扫描仍有安全疑虑。”
“这种 UPnP SUBSCRIBE 攻击看来是对目标发动 DDoS 攻击非常有效,虽然不如分散式内存快取(Memcached)反射式攻击,但比早期常见的 SYN 泛滥攻击更具攻击效益,它基于一个关键的错误配置,进而让各种 UPnP 装置在互联网上门户大开。”安全风险情报解决方案商 Rapid7 研究总监 Tod Beardsley 指出:“网络服务供应商(ISP)确实在限制这类流量攻击有更好的表现,它能对相关众所周知的连接埠进行侦测与过滤。同样的,潜在目标可以凭借骇客流量借由 UPnP,而能轻松地防御这类攻击流量,通常边缘入侵防护系统(IPS)或次世代防火墙(NFGW)可以轻松辨识并阻挡入侵流量。”
“至于资料外泄方面,同样很容易防范,只要不开放 UPnP 即可,”Beardsley 继续指出:“当然,如果你已经开放 UPnP,你有可能是不经意这么做的,而且很可能完全没有意识到自己完全曝险在网络。”
OCF 早在去年底就发现漏洞,但因厂商 / ISP要求直到本周一才公布
开放互连基金会(Open Connectivity Foundation,OCF)在去年 12 月 20 日便已收到了这个安全漏洞的警报,并于 4 月 17 日透过 UPnP 标准的更新来修补这个安全疑虑。然而,应各家供应商与 ISP 的要求,漏洞直到 8 日才公开揭露。事实上,所有受影响的制造商可能需要花费一些时间才能修补 UPnP 堆叠。
除了下载新 UPnP 标准,如果没有商业用途,强烈建议使用者务必在 Internet 可存取界面禁用此协定,因为在 Internet 使用 UPnP 仍然会有潜在安全风险。
“同时,装置制造商被强烈要求在预设配置禁用 UPnP SUBSCRIBE 功能,并要求使用者在 SUBSCRIBE 明确启用任何适当的网络限制机制,以便将相关使用限制在可信任的局域网络。”CERT/CC 写道。再者,Çadirci 技术报告还为家庭使用者、ISP、供应商和企业也提供额外建议。
其他确定受到影响的产品包括:ADB TNR-5720SX Box 多媒体播放机、华硕无线音乐串流器(ASUS Media Streamer)、Belkin WeMo 智慧插座、Trendnet TV- IP551W 网络摄影机、Broadcom ADSL 调制解调器;Asus Rt-N11、Cisco X1000、Cisco X3500、D-Link DVG-N5412SP WPS、华为 HG255s、TP-Link TL-WA801ND、NEC AccessTechnica WR8165N 及 Zyxel VMG8324-B10A 等路由器;佳能 Canon SELPHY CP1200、EPSON EP/EW/XP 系列、HP Deskjet / Photosmart / Officejet / ENVY 系列等打印机;飞利浦 2k14MTK、三星 UE55MU7000、三星 MU8000 等智能电视。
- CallStranger bug in billions of devices can enable data exfiltration, DoS attacks
(首图来源:shutterstock)
