fampahalalana momba ny () ao amin'ny protocol UPnP, izay ahafahanao mandamina ny fandefasana fifamoivoizana amin'ny mpandray tsy misy dikany amin'ny alΓ lan'ny hetsika "SUBSCRIBE" omena ao amin'ny fenitra. Ny vulnerability dia nomena anarana kaody . Ny vulnerability dia azo ampiasaina hanesorana angon-drakitra avy amin'ny tambajotra voaaro amin'ny rafitra fisorohana ny fahaverezan'ny data (DLP), handamina ny fisavana ny seranan-tsambo amin'ny solosaina amin'ny tambajotra anatiny, ary koa hanatsara ny fanafihana DDoS amin'ny fampiasana fitaovana UPnP an-tapitrisany mifandray amin'ny tambajotra manerantany, toy ny tariby. modem, router an-trano , console lalao, fakan-tsary IP, boaty ambony amin'ny fahitalavitra, foibe media ary mpanonta printy.
olana amin'ny hoe ny fiasa "SUBSCRIBE" omena ao amin'ny famaritana dia ahafahan'ny mpanafika ivelany mandefa fonosana HTTP misy lohapejy Callback ary mampiasa ny fitaovana UPnP ho proxy handefasana fangatahana amin'ny mpampiantrano hafa. Ny fiasa "SUBSCRIBE" dia voafaritra ao amin'ny famaritana UPnP ary ampiasaina hanaraha-maso ny fiovana amin'ny fitaovana sy serivisy hafa. Amin'ny fampiasana ny lohatenin'ny Callback HTTP, azonao atao ny mamaritra URL tsy misy dikany izay hiezahan'ilay fitaovana hifandray.
Saika ny fampiharana UPnP rehetra mifototra amin'ny , navoaka hatramin'ny 17 aprily. Anisan'izany ny fisian'ny vulnerability ao anaty fonosana misokatra miaraka amin'ny fametrahana teboka fidirana an-tariby (WPS AP). Ny fanamboarana dia azo alaina amin'izao fotoana izao . Ny fanavaozana dia tsy mbola navoaka tamin'ny fizarana (, , , , , , ). Ny olana koa vahaolana mifototra amin'ny stack UPnP misokatra , izay tsy mbola misy fampahafantarana fanamboarana.
Ny protocol UPnP dia mamaritra rafitra iray ahafahana mahita sy mifandray amin'ny fitaovana amin'ny tambajotra eo an-toerana. Na izany aza, ny protocole dia natao tany am-boalohany hampiasaina amin'ny tambajotra ao an-toerana ary tsy manome endrika fanamarinana sy fanamarinana. Na eo aza izany, fitaovana an-tapitrisany no tsy manafoana ny fanohanan'ny UPnP amin'ny serasera ivelany ivelany sy ho an'ny fangatahana avy amin'ny tambajotra manerantany. Ny fanafihana dia azo atao amin'ny alΓ lan'ny fitaovana UPnP toy izany.
Ohatra, ny consoles Xbox One dia azo voatafika amin'ny alΓ lan'ny seranan-tsambo 2869 satria mamela ny fanovana toy ny fizarana votoaty hojerena amin'ny alΓ lan'ny baiko SUBSCRIBE.
Ny Open Connectivity Foundation (OCF) dia nampahafantarina ny olana tamin'ny faramparan'ny taona lasa, saingy tamin'ny voalohany dia tsy nety nihevitra azy io ho marefo amin'ny famaritana. Rehefa avy namerina tatitra amin'ny antsipiriany kokoa, dia fantatra ny olana ary ny fepetra takiana amin'ny fampiasana UPnP amin'ny fifandraisana LAN ihany no nampiana ny famaritana. Satria ny olana dia vokatry ny lesoka ao amin'ny fenitra, dia mety ho ela ny fanamboarana ny vulnerability amin'ny fitaovana tsirairay, ary ny fanavaozana firmware dia mety tsy hiseho amin'ny fitaovana taloha.
Amin'ny fampandehanana fiarovana, dia asaina manasaraka ny fitaovana UPnP amin'ny fangatahana ivelany miaraka amin'ny firewall, manakana ny fangatahana HTTP ivelany "SUBSCRIBE" sy "MAMPALAZA" amin'ny rafitra fisorohana fanafihana, na manafoana ny protocol UPnP amin'ny fifandraisana ivelany. Manoro hevitra ny mpanamboatra hanaisotra ny fiasa SUBSCRIBE amin'ny fikandrana default ary hametra izany amin'ny fanekena fotsiny ny fangatahana avy amin'ny tambajotra anatiny rehefa alefa.
Mba hitsapana ny faharefoan'ny fitaovanao amin'ny vulnerability fitaovana manokana nosoratana tamin'ny Python ary zaraina amin'ny alΓ lan'ny fahazoan-dΓ lana MIT.
Source: opennet.ru