信息化觀察網

依靠通用即插即用（Universal Plug and Play，UPnP）協(xié)議來發(fā)現其他設備并與之交互的數十億臺物聯網（IoT）和局域網絡（LAN）設備驚爆潛藏“CallStranger”安全漏洞，黑客可借此漏洞竊取資料、發(fā)動分布式拒絕服務攻擊（DDoS）或掃描連接端口。但凡Windows 10操作系統(tǒng)、Xbox One游戲主機，乃至各種型號的打印機、調制解調器、路由器與電視皆為眾多受此漏洞影響的產品之一。

根據CERT/CC安全公告指出，這個官方命名為CVE-2020-12695的漏洞，特別位于UPnP的訂閱（SUBSCRIBE）功能，并且是由攻擊者所控制的回呼（Callback）表頭值引起的，黑客最終可借此向任意目的地發(fā)送大規(guī)模的流量，進而引發(fā)DoS或DDoS狀況。

從這個意義來說，漏洞本質上類似服務器器端請求偽造（Server-Side Request Forgery，SSRF）漏洞，根據Yunusadirci創(chuàng)建網頁技術報告指出，他是安永土耳其（EY Turkey）網絡安全資深經理，并發(fā)現了這個漏洞。

惡意敵人可以利用CallStranger來繞過資料外泄防護（Data Loss Prevention，DLP）機制與網絡安全設備，最終將敏感資料傾泄而出，還可以利用各種聯網設備來發(fā)動“傳輸控制協(xié)議分布式拒絕服務攻擊”（TCP DDoS）并掃描連接端口。

CallStranger漏洞的最大風險在于資料外泄，同時也是發(fā)動DDoS的有效方法

“我們認為資料外泄會是CallStranger漏洞所可能引發(fā)的最大風險。為了確定過去任何威脅發(fā)動者是否曾使用這個安全漏洞，那么檢查日志就顯得格外重要，”adirci指出：“由于此漏洞可用來發(fā)動DDoS攻擊，所以我們認為僵尸網絡（Botnet）會開始借由端點用戶設備執(zhí)行這個新的攻擊手法。當前企業(yè)因為最新發(fā)現的UPnP漏洞而全面封鎖了在互聯網會有曝險可能的所有UPnP設備，所以我們不會看到從Internet到企業(yè)內部網絡（Intranet）的惡意連接端口掃描之舉，但是企業(yè)內網的連接端口掃描仍有安全疑慮。”

“這種UPnP SUBSCRIBE攻擊看來是對目標發(fā)動DDoS攻擊非常有效，雖然不如分布式內存緩存（Memcached）反射式攻擊，但比早期常見的SYN泛濫攻擊更具攻擊效益，它基于一個關鍵的錯誤配置，進而讓各種UPnP設備在互聯網上門戶大開。”安全風險情報解決方案商Rapid7研究總監(jiān)Tod Beardsley指出：“網絡服務供應商（ISP）確實在限制這類流量攻擊有更好的表現，它能對相關眾所周知的連接端口進行偵測與過濾。同樣的，潛在目標可以憑借黑客流量借由UPnP，而能輕松地防御這類攻擊流量，通常邊緣入侵防護系統(tǒng)（IPS）或次世代防火墻（NFGW）可以輕松識別并阻擋入侵流量。”

“至于資料外泄方面，同樣很容易防范，只要不開放UPnP即可，”Beardsley繼續(xù)指出：“當然，如果你已經開放UPnP，你有可能是不經意這么做的，而且很可能完全沒有意識到自己完全曝險在網絡。”

OCF早在去年底就發(fā)現漏洞，但因廠商/ ISP要求直到本周一才公布

開放互聯基金會（Open Connectivity Foundation，OCF）在去年12月20日便已收到了這個安全漏洞的警報，并于4月17日通過UPnP標準的更新來修補這個安全疑慮。然而，應各家供應商與ISP的要求，漏洞直到8日才公開披露。事實上，所有受影響的制造商可能需要花費一些時間才能修補UPnP堆棧。

除了下載新UPnP標準，如果沒有商業(yè)用途，強烈建議用戶務必在Internet可訪問接口禁用此協(xié)議，因為在Internet使用UPnP仍然會有潛在安全風險。

“同時，設備制造商被強烈要求在默認配置禁用UPnP SUBSCRIBE功能，并要求用戶在SUBSCRIBE明確激活任何適當的網絡限制機制，以便將相關使用限制在可信任的局域網絡。”CERT/CC寫道。再者，adirci技術報告還為家庭用戶、ISP、供應商和企業(yè)也提供額外建議。

其他確定受到影響的產品包括：ADB TNR-5720SX Box多媒體播放機、華碩無線音樂流媒體器（ASUS Media Streamer）、Belkin WeMo智能插座、Trendnet TV- IP551W網絡攝影機、Broadcom ADSL調制解調器；Asus Rt-N11、Cisco X1000、Cisco X3500、D-Link DVG-N5412SP WPS、華為HG255s、TP-Link TL-WA801ND、NEC AccessTechnica WR8165N及Zyxel VMG8324-B10A等路由器；佳能Canon SELPHY CP1200、EPSON EP/EW/XP系列、HP Deskjet / Photosmart / Officejet / ENVY系列等打印機；飛利浦2k14MTK、三星UE55MU7000、三星MU8000等智能電視。

（首圖來源：shutterstock）