【CVE-2020-12695】超10亿台设备受漏洞CallStranger UPnP影响

华盟原创文章投稿奖励计划

华盟君引言“安全专家发现了一个新的UPnP漏洞,名为Call Stranger,它影响着数十亿台设备,可能被用于各种恶意活动。”

安全专家公布了一个新的UPnP漏洞,该漏洞会影响超过10亿的设备可能会遭受恶意攻击,包括分布式拒绝服务(DDoS)和数据泄露。

UPnP是一组网络协议,允许网络设备,如个人电脑、打印机、互联网网关、无线接入点和移动设备无缝地发现彼此的存在在网络上建立数据共享功能的网络服务,通信和娱乐。

根据CERT协调中心(CERT/CC),可以滥用2020年4月17日之前生效的UPnP协议,利用订阅功能将流量发送到任意目的地。

“Call Stranger漏洞允许攻击者向互联网上可访问的任意目的地发送大量数据,这可能导致分布式拒绝服务(DDoS)、数据泄露和其他意想不到的网络行为。”读取CERT/CC发布的警告。OCF已经更新了UPnP规范来解决这个问题。这个漏洞被指定为CVE-2020-12695,也被称为Call Stranger。”

该漏洞被跟踪为CVE-2020-12695,称为Call Stranger,在土耳其被发现,可被远程、未经身份验证的攻击者滥用,进行DDoS攻击,绕过安全系统,窃取数据,扫描内部端口。

专家指出,尽管UPnP不应该被暴露在互联网上,但最近的一项Shodan扫描显示,有数百万的设备被暴露。

CallStranger漏洞是由于UPnP订阅功能中的回调头值可以被攻击者控制,形成了类似ssrf的漏洞,影响到互联网上暴露的数百万台设备和数十亿台局域网设备。

切卡德解释说,漏洞可用于:

  • 使用数百万面向互联网的UPnP设备作为放大反射TCP DDoS的来源(与https://www.cloudflare.com/learning/ddos/ssdp-ddos-attack/)
  • 从面向Internet的UPnP设备扫描内部端口

供应商可以通过实现更新的开放连接基金会(OCF)UPnP协议规范来缓解Callstranger问题。

不幸的是,这个CVE-2020-12695问题是一个协议漏洞,这意味着供应商可能需要很长时间才能发布安全补丁。

为缓解此问题,制造商应在默认配置中禁用UPnP订阅功能,并确保需要明确的用户同意才能启用具有任何适当网络限制的订阅。专家们还建议在在线曝光的设备上禁用UPnP协议。

研究人员认为僵尸网络可能很快就会开始利用这一缺陷发动DDoS攻击,攻击终端用户设备。

专家总结表示:“因为它也可以用于DDoS,我们预计僵尸网络将开始通过消费终端用户设备来实现这项新技术。由于最新的UPnP漏洞,企业屏蔽了暴露在Internet上的UPnP设备,因此我们不希望看到从Internet到Intranet的端口扫描,但Intranet2Intranet可能是一个问题。”

已确认的易受攻击设备列表包括Windows PC、Xbox One-OS版本10.0.19041.2494、华硕、贝尔金、博通、思科、戴尔、D-Link、华为、Netgear、三星、TP-Link、中兴等的电视和网络设备。

华盟君点评:“如果黑客利用该漏洞攻击未修复的企业设备,后果将不可设想,各企业安全人员应检查以上受影响设备保证安全性。”

外媒报道地址:https://securityaffairs.co/wordpress/104483/hacking/callstranger-upnp-vulnerability.html

www.idc126.com

本原创,作者:张,其版权均为华盟网所有。如需转载,请注明出处:https://www.77169.net/77169kx/259861.html