近日,国家信息安全漏洞共享平台CNVD收录了涉及UPnP(即插即用)设备相关应用协议存在的多个高危漏洞。攻击者利用漏洞可以发起拒绝服务攻击,严重的还可执行指令取得设备的管理操作权限,且互联网上已出现针对漏洞的攻击利用代码。由于UPnP设备类型广泛,对广大企业和个人用户构成严重的威胁。具体情况通报如下:
一、漏洞情况分析
Universal Plug and Play(中文名称:通用即插即用,英文简称UPnP)是基于TCP/IP协议的应用于计算机以及相关网络设备相互通讯的协议,支持UPnP应用协议的常见应用包括:路由器、打印机、网络存储设备、媒体服务器以及其他智能设备。漏洞主要存在于UPnP协议C语言源码支持库(libupnp)以及可用于嵌入式系统的miniUPnP应用软件,其中libupnp库中存在8个缓冲区溢出漏洞(编号:CNVD-2013-19629至19636),而miniUPnP存在1个拒绝服务漏洞(编号:CNVD-2013-19649)和3个缓冲区溢出漏洞(编号:CNVD-2013-19669/19718/19719)。
针对上述漏洞,攻击者可通过构造畸型的SSDP(简单设备发现协议)数据请求包,如:超长字符数据包或包含操作指令的数据包,向互联网以及局域网的相关设备发起攻击,轻则导致设备拒绝服务,严重的可执行指定指令,窃取设备存储的私密信息或干扰设备正常运行。
二、漏洞影响范围
除编号为CNVD-2013-19649的漏洞评级为“中危”外,CNVD对其他漏洞的综合评级均为“高危”,libupnp 1.6.18之前和miniUPnP 1.4之前的版本受漏洞影响,而攻击利用代码的披露则有可能诱发大规模网络攻击。
CNVD对漏洞进行了跟踪,并对互联网上的相关目标进行了抽样测试。例如,在对某A段的1600余万个IPv4 IP地址以及某B段的6.5万余个IPv4 IP地址的测试中,发现开启UPnP服务的IP设备分别达到2.1万个和789个,从中分别确认有1571个和82个IP设备存在所述漏洞。由于一些UPnP设备位于局域网中或与计算机主机直连,漏洞的影响范围还有待进一步评估。
三、漏洞处置建议
目前,相关软件厂商已经发布了用于修复漏洞的软件更新版本。为有效防范漏洞威胁以及降低UPnP设备运行安全风险,CNVD提出如下建议:
(一)相关用户应及时将libupnp更新至1.6.18版本以及将miniUPnP更新至1.4版本;
(二)建议企业和个人用户特别是基础电信运营企业对UPnP设备启用情况进行排查(附检测工具),做好访问控制和权限审计。建议根据业务需要对设备UDP 1900端口进行限制访问。
UPnP设备漏洞检测工具