IT News
เข้าสู่ระบบ

ข้อบกพร่อง UPnP ล้านสถานที่ของเครือข่ายตกอยู่ในอันตราย

Rick Burgess, TechSpot, 29 ม.ค. 2556 : ผู้ชม 4611

TechSpot - ช่องโหว่ความปลอดภัยจำนวนมากถูกพบกับการใช้งานทั่วไปภายใน UPnP ทั่วไปได้แจ้งผู้เชี่ยวชาญที่ Rapid 7 เพื่อแนะนำภาคสาธารณะปิดการใช้งาน UPnP ทั้งหมด การวิจัยทอดนานหลายเดือนในปี 2555 พบว่าร้อยละกว่า 2 - หรือประมาณ 50 ล้าน - จากเครือข่าย IPv4 ทั้งหมดที่สามารถเข้าถึงได้เครือข่าย IPv4 จะเสียหายหนึ่งในสามข้อบกพร่องที่ระบุไว้ในเอกสาร (มีข้อบกพร่องทั้งหมดแปดข้อ) ช่องโหว่เหล่านี้ช่วยให้แฮกเกอร์เข้าถึงเครือข่ายหรือแม้กระทั่งการเรียกใช้คำสั่ง ในความเป็นจริง คำสั่งทางไกลประมวลผลผิดพลาดที่มีผลต่อการ 23 ล้านเครือข่ายและสามารถเรียกโดยการส่ง UDP แพคเกตเดียว

UPnP เป็นเทคโนโลยี zero-config ที่จะช่วยให้ซอฟต์แวร์และอุปกรณ์เพื่อเรียกอัตโนมัติให้เปิดและส่งต่อของพอร์ตในอุปกรณ์จัดการบนเครือข่าย (เช่น เกตเวย์, เราเตอร์, สวิตช์เชิงพาณิชย์) ที่บ้าน UPnP เป็นประโยชน์อย่างยิ่งสำหรับแม่ข่ายเกม ไฟล์แบ่งปันและการใช้โปรแกรมประยุกต์ P2P ที่เป็นการบริการที่ขึ้นอยู่กับการเชื่อมต่อเข้ามา แต่ไม่ได้ใช้แม่ข่ายตัวกลาง โดยปราศจาก UPnP ผู้ใช้ต้องกำหนดค่าคอนฟิกพอร์ตส่งต่อด้วยตนเองและกำหนด IP address ผ่านเราเตอร์และโปรแกรมบริหาร firewall

ตามที่นักวิจัยด้านความปลอดภัยรายงานว่า มี IPv4 address ไม่ซ้ำกัน 81 ล้านที่อยู่ ตอบสนองทางไกลกับ UPnP ร้องขอ UPnP ที่ค้นพบ 81 ล้านที่อยู่มีประมาณร้อยละ 20 อนุญาตการเข้าถึง SOAP ผลทำให้รู้สึกไม่มั่นคง เมื่อคุณพิจารณาการอนุญาตนี้สามารถยอมให้แฮกเกอร์เข้าถึงทางไกลไปยังอุปกรณ์เครือข่ายที่อยู่เบื้องหลังเราเตอร์ พฤติกรรม ที่อาจรวมถึง stack overflow คำสั่งประมวลผลจากระยะไกลและการเข้าถึงไม่ได้รับอนุญาตไปยังการอินเตอร์เฟซจัดการเครือข่าย และแม้กระทั่งเครือข่ายตัวเอง

Portable UPnP หนึ่งในสี่ของไลบรารี UPnP หลักได้รับผลกระทบ แพทช์ที่ออกในวันนี้ซึ่งจะช่วยแก้ปัญหาเหล่านี้ อย่างไรก็ตาม ขึ้นกับผู้จัดจำหน่ายอุปกรณ์ (เช่น D-Link, Linksys ฯลฯ) รวมการแก้ไขการรักษาความปลอดภัยดังกล่าวใน firmware ของพวกเขาและแจกจ่ายให้กับผู้ใช้ของตัวเอง ด้วยเหตุนี้ อุปกรณ์มากมายที่ได้รับการสนับสนุนอีกต่อไปจะยังคงที่ไม่มีการป้องกันอย่างไม่มีกำหนด

ไม่แน่ใจว่า ถ้าอุปกรณ์ของคุณได้รับผลกระทบโดยหนึ่งในข้อบกพร่อง? Rapid7 กำลังเสนอเป็นโปรแกรมอำนวยความสะดวกฟรีเพื่อตรวจสอบความปลอดภัยของการดำเนินงาน UPnP เครือข่ายของคุณ มีการร้องเรียนจำนวนมากเกี่ยวกับการดาวน์โหลด ติดตั้ง และใช้งานสแกนเนอร์นี้ว่า ระยะของคุณอาจแตกต่างกันไปจนกว่าพวกเขาจะรับการแก้ไขข้อบกพร่อง ถ้าคุณไม่แน่ใจหรือไม่ต้องการที่จะใช้โอกาสใด ๆ ในปิด UPnP อาจเป็นวิธีที่จะเป็นไป
IT A - Z
> zero-day exploit
> iPhone
> Amazon Elastic Compute Cloud (Amazon EC2)
> 4G (fourth-generation wireless)
> Web 2.0
> smartphone
> SAP
> RFID
> Zachman framework
> public cloud
IT News
> พบมัลแวร์ชนิดใหม่ซ่อนอยู่ใน Google Play Store
> Bitcoin จะเป็นสกุลเงินเดียวของโลกในที่สุด ซีอีโอ Twitter บอก
> Google กำลังซื้อ Lytro สตาร์ทอัพกล้อง light-field
> Trump สั่งห้ามซื้อคริปโตเคอร์เรนซี่แห่งชาติใหม่ของเวเนซุเอลา
> YouTube จะเพิ่มเกร็ดข้อมูล Wikipedia ในวิดีโอสมรู้ร่วมคิด
> รายได้ของ Lyft เติบโตมากกว่า Uber เกือบสามเท่า
> British Airways ขยายการทดลองประตูไบโอเมตริกซ์ผ่านขึ้นเครื่อง
> ยุโรปกำลังมี Wi-Fi ฟรีในพื้นที่สาธารณะ ก้าวเล็ก ๆ ที่เตรียมเดินหน้าสู่ 5 G
> ก.ล.ต. สหรัฐ กำลังปราบปราม “การเสนอขาย” คริปโตเคอร์เรนซี่
> ภาพรั่วแสดงสมาร์ทวอทช์ “ดึงคูดใจมวลชน” รุ่นต่อไปของ Fitbit

Loading
Microsoft Access
Access
дЄВЗСІ№м ตГРЎТГГСต№мКС№ตФ КСиงซЧйНјиТ№ PayPal г№ГТคТ 280 єТท
НШйБјТง аєЧйНงЛЕСงёГГБЄТตФ
Umphang
ГЩйЁСЎНШйБјТงг№НХЎбงиБШБ вґВ ปГРЄТ бБиЁС№
КСиงซЧйНјиТ№ PayPal г№ГТคТ 90 єТท
КงЗ№ЕФўКФทёФм (C) widebase