數十億 IoT 裝置驚爆 CallStranger 漏洞,恐引發大規模資料外洩與 DDoS 攻擊

作者 | 發布日期 2020 年 06 月 10 日 13:30 | 分類 物聯網 , 網路 , 資訊安全 Telegram share ! follow us in feedly


依靠通用隨插即用(Universal Plug and Play,UPnP)協定來發現其他裝置並與之互動的數十億台物聯網(IoT)和區域網路(LAN)裝置驚爆潛藏「CallStranger」安全漏洞,駭客可藉此漏洞竊取資料、發動分散式阻斷服務攻擊(DDoS)或掃描連接埠。舉凡 Windows 10 作業系統、Xbox One 遊戲主機,乃至各種型號的印表機、數據機、路由器與電視皆為眾多受此漏洞影響的產品之一。 

根據 CERT/CC 安全公告指出,這個官方命名為 CVE-2020-12695 的漏洞,特別位於 UPnP 的訂閱(SUBSCRIBE)功能,並且是由攻擊者所控制的回呼(Callback)表頭值引起的,駭客最終可藉此向任意目的地發送大規模的流量,進而引發 DoS 或 DDoS 狀況。

從這個意義來說,漏洞本質上類似伺服器器端請求偽造(Server-Side Request Forgery,SSRF)漏洞,根據 Yunus Çadirci 建立網頁技術報告指出,他是安永土耳其(EY Turkey)網路安全資深經理,並發現了這個漏洞。

惡意敵人可以利用 CallStranger 來繞過資料外洩防護(Data Loss Prevention,DLP)機制與網路安全裝置,最終將敏感資料傾洩而出,還可以利用各種連網裝置來發動「傳輸控制協定分散式阻斷服務攻擊」(TCP DDoS)並掃描連接埠。

CallStranger 漏洞的最大風險在於資料外洩,同時也是發動 DDoS 的有效方法

「我們認為資料外洩會是 CallStranger 漏洞所可能引發的最大風險。為了確定過去任何威脅發動者是否曾使用這個安全漏洞,那麼檢查日誌就顯得格外重要,」Çadirci 指出:「由於此漏洞可用來發動 DDoS 攻擊,所以我們認為殭屍網路(Botnet)會開始藉由端點使用者裝置執行這個新的攻擊手法。當前企業因為最新發現的 UPnP 漏洞而全面封鎖了在網際網路會有曝險可能的所有 UPnP 裝置,所以我們不會看到從 Internet 到企業內部網路(Intranet)的惡意連接埠掃描之舉,但是企業內網的連接埠掃描仍有安全疑慮。」

「這種 UPnP SUBSCRIBE 攻擊看來是對目標發動 DDoS 攻擊非常有效,雖然不如分散式記憶體快取(Memcached)反射式攻擊,但比早期常見的 SYN 氾濫攻擊更具攻擊效益,它基於一個關鍵的錯誤配置,進而讓各種 UPnP 裝置在網際網路上門戶大開。」安全風險情報解決方案商 Rapid7 研究總監 Tod Beardsley 指出:「網路服務供應商(ISP)確實在限制這類流量攻擊有更好的表現,它能對相關眾所周知的連接埠進行偵測與過濾。同樣的,潛在目標可以憑藉駭客流量藉由 UPnP,而能輕鬆地防禦這類攻擊流量,通常邊緣入侵防護系統(IPS)或次世代防火牆(NFGW)可以輕鬆辨識並阻擋入侵流量。」

「至於資料外洩方面,同樣很容易防範,只要不開放 UPnP 即可,」Beardsley 繼續指出:「當然,如果你已經開放 UPnP,你有可能是不經意這麼做的,而且很可能完全沒有意識到自己完全曝險在網路。」

OCF 早在去年底就發現漏洞,但因廠商 / ISP要求直到本週一才公布

開放互連基金會(Open Connectivity Foundation,OCF)在去年 12 月 20 日便已收到了這個安全漏洞的警報,並於 4 月 17 日透過 UPnP 標準的更新來修補這個安全疑慮。然而,應各家供應商與 ISP 的要求,漏洞直到 8 日才公開揭露。事實上,所有受影響的製造商可能需要花費一些時間才能修補 UPnP 堆疊。

除了下載新 UPnP 標準,如果沒有商業用途,強烈建議使用者務必在 Internet 可存取介面禁用此協定,因為在 Internet 使用 UPnP 仍然會有潛在安全風險。

「同時,裝置製造商被強烈要求在預設配置禁用 UPnP SUBSCRIBE 功能,並要求使用者在 SUBSCRIBE 明確啟用任何適當的網路限制機制,以便將相關使用限制在可信任的區域網路。」CERT/CC 寫道。再者,Çadirci 技術報告還為家庭使用者、ISP、供應商和企業也提供額外建議。

其他確定受到影響的產品包括:ADB TNR-5720SX Box 多媒體播放機、華碩無線音樂串流器(ASUS Media Streamer)、Belkin WeMo 智慧插座、Trendnet TV- IP551W 網路攝影機、Broadcom ADSL 數據機;Asus Rt-N11、Cisco X1000、Cisco X3500、D-Link DVG-N5412SP WPS、華為 HG255s、TP-Link TL-WA801ND、NEC AccessTechnica WR8165N 及 Zyxel VMG8324-B10A 等路由器;佳能 Canon SELPHY CP1200、EPSON EP/EW/XP 系列、HP Deskjet / Photosmart / Officejet / ENVY 系列等印表機;飛利浦 2k14MTK、三星 UE55MU7000、三星 MU8000 等智慧型電視。

(首圖來源:shutterstock)