الباحث: عيوب UPnP تعرض ملايين الأجهزة المتصلة بالشبكات للهجمات البعيدة

UPnP تسمح للأجهزة المتصلة بالشبكة باكتشاف بعضها البعض وتكوين إعدادات العمل تلقائيًا التي تتيح مشاركة البيانات وتدفق الوسائط ووسائل الإعلام السيطرة على layback وغيرها من الخدمات. في أحد السيناريوهات الشائعة ، يمكن لأحد تطبيقات مشاركة الملفات التي تعمل على الكمبيوتر أن يخبر الموجّه عبر UPnP أن يفتح منفذًا معينًا ويعينه على عنوان الشبكة المحلية للكمبيوتر من أجل فتح خدمة مشاركة الملفات لمستخدمي الإنترنت.

UPnP يهدف إلى استخدامها في المقام الأول داخل الشبكات المحلية. ومع ذلك ، وجد الباحثون الأمنيون من Rapid7 أكثر من 80 مليون عنوان IP (بروتوكول إنترنت) عام فريد من نوعه استجابوا لطلبات اكتشاف UPnP عبر الإنترنت ، خلال عمليات المسح التي أجريت العام الماضي من يونيو إلى نوفمبر.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز الكمبيوتر الذي يعمل بنظام تشغيل Windows]

علاوةً على ذلك ، وجدوا أن 20 بالمائة أو 17 مليونًا من عناوين IP تلك تتوافق مع الأجهزة التي تعرض خدمة UPnP SOAP (بروتوكول الوصول البسيط إلى الكائنات) إلى الإنترنت. وقال الباحثون في Rapid7 إن هذه الخدمة يمكن أن تسمح للمهاجمين باستهداف الأنظمة خلف الجدار الناري وتكشف معلومات حساسة عنها.

استناداً إلى استجابات اكتشاف UPnP ، تمكن الباحثون من بصمة الأجهزة الفريدة واكتشاف ما تستخدمه مكتبة UPnP. ووجد الباحثون أن أكثر من ربعهم قاموا بتنفيذ UPnP من خلال مكتبة تسمى Portable UPnP SDK.

تم التعرف على ثمانية نقاط ضعف قابلة للاستغلال عن بعد في Portable UPnP SDK ، بما في ذلك اثنين يمكن استخدامها لتنفيذ التعليمات البرمجية عن بعد ، حسبما قال الباحثون.

"تم إصلاح الثغرات الأمنية التي حددناها في Portable UPnP SDK اعتبارًا من الإصدار 1.6.18 (تم إصدارها اليوم) ، ولكن الأمر سيستغرق وقتًا طويلاً قبل أن يدمج كل من موردي التطبيقات والأجهزة هذا التصحيح في منتجاتهم ، "HD مور ، كبير ضباط الأمن في Rapid7 ، قال الثلاثاء في بلوق وظيفة. أكثر من 23 مليون عنوان IP من تلك التي تم تحديدها خلال عمليات المسح يتوافق مع الأجهزة التي يمكن اختراقها من خلال نقاط الضعف SDK المحمولة UPnP عن طريق إرسال واحدة وضعت خصيصا حزمة UDP لهم ، وفقا لمور.

نقاط الضعف إضافية ، بما في ذلك تلك التي يمكن استخدامها في الحرمان من الخدمة وهجمات تنفيذ التعليمات البرمجية عن بعد ، موجودة أيضا في كاليفورنيا مكتبة UPnP مميل MiniUPnP. على الرغم من أنه تم تناول هذه الثغرات في إصدارات MiniUPnP التي تم إصدارها في عامي 2008 و 2009 ، فإن 14 بالمائة من أجهزة UPnP التي تم كشفها عبر الإنترنت كانت تستخدم الإصدار MiniUPnP 1.0 الضعيف ، كما قال الباحثون في Rapid7.

تم التعرف على مشكلات أخرى في الإصدار الأحدث من MiniUPnP ، 1.4 ، ولكن لن يتم الكشف عنها علنًا حتى يقوم مطور المكتبة بإصدار رقعة للتصدي لها ، كما قالوا.

"تم إخبارنا ، لقد تمكنا من تحديد أكثر من 6900 إصدار من المنتجات كانت ضعيفة من خلال UPnP". وقال مور. "تضم هذه القائمة أكثر من 1500 بائع ولا تأخذ في الاعتبار سوى الأجهزة التي كشفت خدمة UPnP SOAP إلى الإنترنت ، وهي نقطة ضعف خطيرة في حد ذاتها."

نشرت Rapid7 ثلاث قوائم منفصلة من المنتجات المعرضة لعيوب UPnP SDK المحمولة ، MiniUPnP العيوب ، والتي تعرض خدمة UPnP SOAP للإنترنت.

لم تتجاوب شركة Belkin و Cisco و Netgear و D-Link و Asus ، وجميعها أجهزة ضعيفة وفقًا للقوائم التي نشرتها Rapid7 ، على الفور لطلبات التعليق التي تم إرسالها يوم الثلاثاء.

ويعتقد مور أن أجهزة الشبكات التي لم تعد موجودة في معظم الحالات لن يتم تحديثها وستظل عرضة للهجمات عن بعد لأجل غير مسمى ما لم يقم أصحابها بتعطيل وظيفة UPnP يدويًا أو استبدالها.

"تثبت هذه النتائج أن الكثير من الموردين لم يتعلموا بعد أساسيات تصميم الأجهزة التي تعجز عن وقال توماس كريستنسن ، كبير موظفي الأمن في شركة Secunia للأبحاث وإدارة الضعف: "تكوين آمن وقوي". "يجب ألا تقوم الأجهزة المخصصة للاتصالات المباشرة بالإنترنت بتشغيل أي خدمات على واجهاتها العامة بشكل افتراضي ، لا سيما الخدمات مثل UPnP ، التي تهدف فقط إلى الشبكات المحلية" الموثوق بها ".

تعتقد كريستنسن أن العديد من الأجهزة الضعيفة من المرجح أن تظل غير مزدحمة حتى يتم استبدالها ، حتى لو قام المصنعون بتحديث تحديثات البرامج الثابتة.

لا يقوم العديد من مستخدمي الكمبيوتر الشخصي بتحديث برامج الكمبيوتر التي يستخدمونها بشكل متكرر وهم على دراية بها. وقال إن مهمة العثور على واجهة الويب الخاصة بأجهزة الشبكة الضعيفة ، والحصول على تحديث البرامج الثابتة والقيام بعملية التحديث بأكملها ، ستكون على الأرجح مخيفة بالنسبة للعديد من المستخدمين.

تشمل ورقة بحث Rapid7 توصيات أمنية لمزودي خدمات الإنترنت.

تم إبلاغ مقدمي خدمة الإنترنت لدفع تحديثات التكوين أو تحديثات البرامج الثابتة إلى أجهزة المشترك من أجل تعطيل قدرات UPnP أو استبدال تلك الأجهزة مع الآخرين التي تم تكوينها بطريقة آمنة وعدم كشف UPnP إلى الإنترنت.

"يجب على مستخدمي أجهزة الكمبيوتر الشخصية وأجهزة الكمبيوتر المحمول التأكد من تعطيل وظيفة UPnP على أجهزة التوجيه المنزلية وأجهزة المحمول ذات النطاق الترددي العريض" ، كما قال الباحثون.

بالإضافة إلى التأكد من عدم تعرض الجهاز الخارجي للكشف عن UPnP إلى الإنترنت ، تم نصح الشركات بإجراء مراجعة دقيقة للتأثير الأمني ​​المحتمل لجميع الأجهزة التي تعمل بـ UPnP والموجودة على شبكاتها - الطابعات المتصلة بالشبكات وكاميرات IP أنظمة التخزين ، وما إلى ذلك - والنظر في تقسيمها من الشبكة الداخلية حتى يتوفر تحديث البرامج الثابتة من الشركة المصنعة.

إصدار Rapid7 أداة مجانية تسمى ScanNow for Universal Plug and Play ، بالإضافة إلى وحدة لإطار اختبار اختراق Metasploit ، والتي يمكن استخدامها للكشف عن خدمات UPnP الضعيفة التي تعمل داخل الشبكة.

تم التحديث في الساعة 1:45 مساءً PT لتصحيح التاريخ الذي أرسلت فيه طلبات التعليق إلى الشركات ذات الأجهزة الضعيفة.