alaye nipa () ninu ilana UPnP, eyiti o fun ọ laaye lati ṣeto fifiranṣẹ ijabọ si olugba lainidii nipa lilo iṣẹ “SUBSCRIBE” ti a pese ni boṣewa. Ailagbara naa ti ni orukọ koodu kan . Ailagbara naa le ṣee lo lati yọkuro data lati awọn nẹtiwọọki ti o ni aabo nipasẹ awọn eto idena ipadanu data (DLP), ṣeto ọlọjẹ ti awọn ebute oko oju omi kọnputa lori nẹtiwọọki inu, ati tun lati mu awọn ikọlu DDoS pọ si ni lilo awọn miliọnu awọn ẹrọ UPnP ti o sopọ si nẹtiwọọki agbaye, bii okun. modems, awọn olulana ile, awọn afaworanhan ere, awọn kamẹra IP, awọn apoti ṣeto-oke TV, awọn ile-iṣẹ media ati awọn atẹwe.
Isoro ni pe iṣẹ “SUBSCRIBE” ti a pese ni sipesifikesonu ngbanilaaye eyikeyi ikọlu ita lati fi awọn apo-iwe HTTP ranṣẹ pẹlu akọsori Callback kan ati lo ẹrọ UPnP gẹgẹbi aṣoju lati firanṣẹ awọn ibeere si awọn ogun miiran. Iṣẹ “SUBSCRIBE” jẹ asọye ni sipesifikesonu UPnP ati pe a lo lati tọpa awọn ayipada ninu awọn ẹrọ ati awọn iṣẹ miiran. Lilo akọsori HTTP Callback, o le ṣalaye URL lainidii si eyiti ẹrọ naa yoo gbiyanju lati sopọ.
Fere gbogbo awọn imuse UPnP da lori , ti a tu silẹ titi di Oṣu Kẹrin Ọjọ 17. Pẹlu wiwa ti awọn ailagbara ninu ohun-ìmọ package pẹlu imuse aaye iwọle alailowaya (WPS AP). Atunṣe naa wa lọwọlọwọ bi . Awọn imudojuiwọn ko tii tu silẹ ni awọn pinpin (, , , , , , ). Iṣoro naa tun jẹ awọn solusan da lori ṣiṣi UPnP akopọ , fun eyiti ko si alaye atunṣe sibẹsibẹ.
Ilana UPnP n ṣalaye ẹrọ kan fun wiwa laifọwọyi ati ibaraẹnisọrọ pẹlu awọn ẹrọ lori nẹtiwọọki agbegbe kan. Bibẹẹkọ, ilana naa jẹ apẹrẹ ni akọkọ fun lilo ninu awọn nẹtiwọọki agbegbe inu ati pe ko pese fun eyikeyi awọn ọna ijẹrisi ati ijẹrisi. Laibikita eyi, awọn miliọnu awọn ẹrọ ko mu atilẹyin UPnP ṣiṣẹ lori awọn atọkun nẹtiwọọki ita ati fun awọn ibeere lati awọn agbaye nẹtiwọki. Ikọlu naa le ṣee ṣe nipasẹ eyikeyi iru ẹrọ UPnP.
Fun apẹẹrẹ, awọn afaworanhan Xbox Ọkan le ṣe ikọlu nipasẹ ibudo nẹtiwọọki 2869 nitori wọn gba awọn ayipada laaye gẹgẹbi pinpin akoonu lati ṣe abojuto nipasẹ aṣẹ SUBSCRIBE.
Open Asopọmọra Foundation (OCF) ti gba ifitonileti nipa ọran naa ni ọdun to kọja, ṣugbọn kọkọ kọ lati ro pe o jẹ ailagbara ninu sipesifikesonu. Lẹhin atunwi ijabọ alaye diẹ sii, iṣoro naa jẹ idanimọ ati ibeere kan lati lo UPnP nikan lori awọn atọkun LAN ni a ṣafikun si sipesifikesonu. Niwọn bi iṣoro naa ti ṣẹlẹ nipasẹ abawọn ninu boṣewa, o le gba akoko pipẹ lati ṣatunṣe ailagbara ninu awọn ẹrọ kọọkan, ati awọn imudojuiwọn famuwia le ma han fun awọn ẹrọ agbalagba.
Gẹgẹbi awọn agbegbe aabo, o gba ọ niyanju lati ya sọtọ awọn ẹrọ UPnP lati awọn ibeere ita pẹlu ogiriina kan, dènà awọn ibeere HTTP ita “SUBSCRIBE” ati “IKILỌ” lori awọn eto idena ikọlu, tabi mu ilana UPnP kuro ni awọn atọkun nẹtiwọọki ita. A ṣe iṣeduro awọn aṣelọpọ lati mu iṣẹ SUBSCRIBE ṣiṣẹ ni awọn eto aiyipada ki o fi opin si gbigba awọn ibeere nikan lati inu nẹtiwọọki inu nigbati o ba ṣiṣẹ.
Lati ṣe idanwo ailagbara awọn ẹrọ rẹ si awọn ailagbara ohun elo irinṣẹ pataki ti a kọ sinu Python ati pinpin labẹ iwe-aṣẹ MIT.
orisun: opennet.ru