शोधकर्ता: यूपीएनपी दोषों ने रिमोट अटैक के लिए लाखों नेटवर्क किए गए उपकरणों का पर्दाफाश किया

दसियों यूपीएनपी (यूनिवर्सल प्लग एंड प्ले) प्रोटोकॉल मानक के कार्यान्वयन में खतरनाक त्रुटियों के कारण रूटर, प्रिंटर, मीडिया सर्वर, आईपी कैमरे, स्मार्ट टीवी और अधिक सहित लाखों नेटवर्क-सक्षम डिवाइसों पर हमला किया जा सकता है, सुरक्षा शोधकर्ताओं से रैपिड 7 ने एक शोध पत्र में मंगलवार को कहा।

यूपीएनपी नेटवर्क किए गए उपकरणों को एक-दूसरे को खोजने की अनुमति देता है और स्वचालित रूप से काम करने वाली कॉन्फ़िगरेशन स्थापित करता है जो डेटा साझाकरण, मीडिया स्ट्रीमिंग, मीडिया पी को सक्षम बनाता है लेबैक नियंत्रण और अन्य सेवाएं। एक सामान्य परिदृश्य में कंप्यूटर पर चलने वाला फ़ाइल-शेयरिंग एप्लिकेशन यूपीएनपी के माध्यम से एक विशिष्ट बंदरगाह खोलने के लिए राउटर बता सकता है और इसे इंटरनेट उपयोगकर्ताओं को अपनी फ़ाइल-शेयरिंग सेवा खोलने के लिए कंप्यूटर के स्थानीय नेटवर्क पते पर मैप कर सकता है।

UPnP मुख्य रूप से स्थानीय नेटवर्क के अंदर इस्तेमाल किया जाना है। हालांकि, रैपिड 7 के सुरक्षा शोधकर्ताओं ने पिछले साल जून से नवंबर तक किए गए स्कैन के दौरान 80 मिलियन अद्वितीय सार्वजनिक आईपी (इंटरनेट प्रोटोकॉल) पते पर इंटरनेट पर यूपीएनपी खोज अनुरोधों का जवाब दिया।

[आगे पढ़ें: मैलवेयर को कैसे हटाएं आपके विंडोज पीसी]

इसके अलावा, उन्होंने पाया कि उन आईपी पतों में से 20 प्रतिशत, या 17 मिलियन, उन उपकरणों से मेल खाते हैं जो यूपीएनपी एसओएपी (सरल ऑब्जेक्ट एक्सेस प्रोटोकॉल) सेवा को इंटरनेट पर उजागर कर रहे थे। यह सेवा हमलावरों को फ़ायरवॉल के पीछे सिस्टम को लक्षित करने और उनके बारे में संवेदनशील जानकारी का खुलासा करने की अनुमति दे सकती है, रैपिड 7 शोधकर्ताओं ने कहा।

यूपीएनपी खोज प्रतिक्रियाओं के आधार पर शोधकर्ता अद्वितीय उपकरणों को फिंगरप्रिंट करने में सक्षम थे और यूपीएनपी लाइब्रेरी का उपयोग कर रहे थे। उन्होंने पाया कि उनमें से एक चौथाई से अधिक यूपीएनपी पोर्टेबल यूपीएनपी एसडीके नामक लाइब्रेरी के माध्यम से लागू किया गया था।

पोर्टेबल यूपीएनपी एसडीके में आठ दूरस्थ रूप से शोषण योग्य भेद्यता की पहचान की गई है, जिनमें दो को रिमोट कोड निष्पादन के लिए इस्तेमाल किया जा सकता है, शोधकर्ताओं ने कहा ।

"पोर्टेबल यूपीएनपी एसडीके में पहचाने जाने वाले कमजोरियों को संस्करण 1.6.18 (आज जारी किया गया) के रूप में तय किया गया है, लेकिन प्रत्येक एप्लिकेशन और डिवाइस विक्रेताओं ने अपने उत्पादों में इस पैच को शामिल करने में काफी समय लगेगा, "रैपिड 7 के मुख्य सुरक्षा अधिकारी एचडी मूर ने मंगलवार को एक ब्लॉग पोस्ट में कहा।

स्कैन के दौरान पहचाने गए 23 मिलियन से अधिक आईपी पते उन उपकरणों से मेल खाते हैं जिन्हें पोर्टेबल यूपीएनपी एसडीके भेद्यता के माध्यम से एक विशेष रूप से तैयार किया जा सकता है मूर के अनुसार, उनके लिए यूडीपी पैकेट।

अतिरिक्त भेद्यता, जिनमें सेवा के इनकार करने और रिमोट कोड निष्पादन हमलों में उपयोग किया जा सकता है, यूपीएनपी लाइब्रेरी सीए में भी मौजूद है lled MiniUPnP। हालांकि 2008 और 200 9 में जारी किए गए मिनीयूपीपी संस्करणों में इन भेद्यताओं को संबोधित किया गया है, फिर भी इंटरनेट-उजागर यूपीएनपी उपकरणों का 14 प्रतिशत कमजोर मिनी अपनपी 1.0 संस्करण का उपयोग कर रहे थे, रैपिड 7 शोधकर्ताओं ने कहा।

नवीनतम संस्करणों में अन्य मुद्दों की पहचान की गई है उन्होंने कहा, मिनीअपएनपी, 1.4, लेकिन लाइब्रेरी के डेवलपर ने उन्हें संबोधित करने के लिए एक पैच जारी किए जाने तक सार्वजनिक रूप से खुलासा नहीं किया जाएगा।

"सभी ने कहा, हम 6,900 से अधिक उत्पाद संस्करणों की पहचान करने में सक्षम थे जो यूपीएनपी के माध्यम से कमजोर थे," मूर ने कहा। "इस सूची में 1,500 से अधिक विक्रेताओं को शामिल किया गया है और केवल उन खातों में शामिल किया गया है जो यूपीएनपी एसओएपी सेवा को इंटरनेट पर उजागर करते हैं, जो खुद में गंभीर भेद्यता है।"

रैपिड 7 ने पोर्टेबल यूपीएनपी एसडीके दोषों के लिए कमजोर उत्पादों की तीन अलग-अलग सूचियां प्रकाशित की, मिनीयूपीएनपी त्रुटियां, और जो यूपीएनपी एसओएपी सेवा को इंटरनेट पर उजागर करती हैं।

रैपिड 7 द्वारा प्रकाशित सूचियों के अनुसार बेल्किन, सिस्को, नेटगियर, डी-लिंक और एसस, जिनके पास कमजोर डिवाइस हैं, ने मंगलवार को भेजे गए टिप्पणी के अनुरोधों का तुरंत जवाब नहीं दिया।

मूर का मानना ​​है कि ज्यादातर मामलों में नेटवर्क किए गए डिवाइस जो अब नहीं हैं बेचा जा रहा है अपडेट नहीं किया जाएगा और जब तक कि उनके मालिक मैन्युअल रूप से यूपीएनपी कार्यक्षमता को अक्षम नहीं करते हैं या उन्हें प्रतिस्थापित नहीं करते हैं, तब तक रिमोट अटैक के संपर्क में रहेंगे।

"ये निष्कर्ष साबित करते हैं कि बहुत से विक्रेताओं ने अभी भी डिज़ाइन करने वाले उपकरणों की मूल बातें नहीं सीखी हैं एक सुरक्षित और मजबूत विन्यास, "भेद्यता अनुसंधान और प्रबंधन फर्म सिक्युनिया के मुख्य सुरक्षा अधिकारी थॉमस क्रिस्टेंसेन ने कहा। "सीधे इंटरनेट कनेक्शन के लिए बने उपकरणों को डिफ़ॉल्ट रूप से अपने सार्वजनिक इंटरफेस पर कोई भी सेवाएं नहीं चलनी चाहिए, खासकर यूपीएनपी जैसी सेवाएं नहीं, जो पूरी तरह से स्थानीय 'विश्वसनीय' नेटवर्क के लिए लक्षित हैं।" 99

क्रिस्टेनसेन का मानना ​​है कि कई कमजोर डिवाइस उन्होंने कहा कि जब तक उनके निर्माता फर्मवेयर अपडेट जारी नहीं करते हैं, तब तक उन्हें बिना छेड़छाड़ की संभावना है।

कई पीसी उपयोगकर्ता पीसी सॉफ़्टवेयर को भी अपडेट नहीं करते हैं जिसका वे अक्सर उपयोग करते हैं और परिचित हैं। उन्होंने कहा कि एक कमजोर नेटवर्क डिवाइस के वेब इंटरफ़ेस को ढूंढने, फर्मवेयर अपडेट प्राप्त करने और पूरे अपडेट प्रक्रिया के माध्यम से जाने की संभावना कई उपयोगकर्ताओं के लिए बहुत डरावनी होगी।

रैपिड 7 शोध पत्र में इंटरनेट सेवा प्रदाताओं के लिए सुरक्षा अनुशंसाएं शामिल हैं, व्यवसाय और घरेलू उपयोगकर्ता।

आईएसपी को यूपीएनपी क्षमताओं को अक्षम करने के लिए या उन उपकरणों को उन लोगों के साथ बदलने के लिए कॉन्फ़िगरेशन अपडेट या फर्मवेयर अपडेट को पुश करने के लिए सलाह दी गई थी जो सुरक्षित तरीके से कॉन्फ़िगर किए गए हैं और यूपीएनपी को बेनकाब नहीं करते हैं शोधकर्ताओं ने कहा, "99

" घर और मोबाइल पीसी उपयोगकर्ताओं को यह सुनिश्चित करना चाहिए कि उनके घर राउटर और मोबाइल ब्रॉडबैंड उपकरणों पर यूपीएनपी फ़ंक्शन अक्षम कर दिया गया है।

यह सुनिश्चित करने के अलावा कि बाहरी-बाहरी डिवाइस यूपीएनपी का खुलासा नहीं करता इंटरनेट पर, कंपनियों को सलाह दी गई थी कि वे अपने नेटवर्क पर पाए गए सभी यूपीएनपी-सक्षम उपकरणों के संभावित सुरक्षा प्रभाव की सावधानीपूर्वक समीक्षा करें - नेटवर्क प्रिंटर, आईपी कैमरे, स्टोरेज सिस्टम, इत्यादि - और उन्हें आंतरिक नेटवर्क से विभाजित करने पर विचार करें जब तक कि फर्मवेयर अपडेट निर्माता से उपलब्ध न हो।

रैपिड 7 ने सार्वभौमिक प्लग और प्ले के लिए स्कैननो नामक एक निःशुल्क टूल जारी किया, साथ ही मेटास्पलोइट प्रवेश परीक्षण ढांचे के लिए एक मॉड्यूल भी जारी किया, जिसका उपयोग नेटवर्क के अंदर चलने वाली कमजोर यूपीएनपी सेवाओं का पता लगाने के लिए किया जा सकता है।

1:45 बजे अपडेट किया गया पीटी तिथि को सही करने के लिए जिस पर टिप्पणियों के अनुरोध कमजोर उपकरणों वाले कंपनियों को भेजे गए थे।