首先,從什么是“UPnP”說起?
UPnP是一種用于 PC 機(jī)和智能設(shè)備(或儀器)的常見對(duì)等網(wǎng)絡(luò)連接的體系結(jié)構(gòu)。UPnP 可使設(shè)備彼此自動(dòng)連接和協(xié)同工作,從而使網(wǎng)絡(luò)(尤其是家庭網(wǎng)絡(luò))對(duì)更多的人成為可能。因此,很多路由器都開放了UPnP服務(wù)。
全球有約280萬臺(tái)物聯(lián)網(wǎng)設(shè)備開放了UPnP SSDP服務(wù)(1900端口),存在被利用進(jìn)行DDoS攻擊的風(fēng)險(xiǎn),其中有38.6%的設(shè)備同時(shí)還開放了UPnP SOAP服務(wù),在這些開放SOAP服務(wù)的設(shè)備中,69.8%的設(shè)備存在漏洞。
綠盟科技發(fā)現(xiàn)的兩類惡意端口映射家族
由于SOAP服務(wù)缺乏鑒權(quán)機(jī)制,約41萬臺(tái)端口映射服務(wù)可訪問的物聯(lián)網(wǎng)設(shè)備存在被入侵的可能。在這些設(shè)備中,有8.9%的設(shè)備被發(fā)現(xiàn)存在惡意的端口映射條目,例如會(huì)將內(nèi)網(wǎng)的445端口和139端口暴露在互聯(lián)網(wǎng)上,而開啟這兩個(gè)端口服務(wù)可能存在遭受永恒之藍(lán)、永恒之紅的攻擊的風(fēng)險(xiǎn),平均每個(gè)受感染的設(shè)備存在282條感染記錄。
1、 IntraScan
我們采集到約有26萬條IntraScan的內(nèi)外網(wǎng)端口映射關(guān)系數(shù)據(jù),平均每個(gè)惡意IP約有31條惡意端口映射記錄。韓國受到IntraScan的影響最為嚴(yán)重,占所有感染數(shù)量的47%。
IntraScan暴露的內(nèi)網(wǎng)端口包括 Web服務(wù)相關(guān)的80、81、82、8080端口,F(xiàn)TP 21端口,SSH 22端口,Samba 445端口,MySQL 3306端口,MSSQL 1433端口等。暴露數(shù)量最多的是9308端口,即索尼PlayStation的端口。
圖1 受IntraScan感染的設(shè)備內(nèi)網(wǎng)映射端口分布
表 1是受IntraScan感染的設(shè)備內(nèi)外網(wǎng)端口映射關(guān)系的示例。從中我們發(fā)現(xiàn)了兩類不同的端口映射規(guī)則。一類是內(nèi)網(wǎng)端口和所映射的外網(wǎng)端口相同,這類規(guī)則發(fā)生在9303-9308端口之間和所有大于等于49152端口的時(shí)候;另一類是將內(nèi)網(wǎng)端口號(hào)加1000作為相對(duì)應(yīng)的外網(wǎng)端口號(hào),如果出現(xiàn)映射失敗的情況(即該外網(wǎng)端口已在使用中),則會(huì)嘗試將內(nèi)網(wǎng)端口號(hào)加1025作為相對(duì)應(yīng)的外網(wǎng)端口號(hào),如果繼續(xù)映射失敗,則會(huì)持續(xù)在此基礎(chǔ)上加1進(jìn)行映射,直到映射成功,如示例中的80、81、82、8443、9999端口。
表1 受IntraScan感染的設(shè)備內(nèi)外網(wǎng)端口映射關(guān)系示例
2、NodeDoS
NodeDoS主要存在兩種惡意行為,一是映射到8.8.8.8的53端口,推測(cè)其將設(shè)備作為DNS反射攻擊的肉雞集群,二是映射到某色情廣告平臺(tái),進(jìn)行分布式廣告點(diǎn)擊從中獲利,全球目前有約600臺(tái)設(shè)備受到感染。約有3.4萬條NodeDoS的內(nèi)外網(wǎng)端口映射關(guān)系數(shù)據(jù),平均每個(gè)惡意IP約有58條惡意端口映射記錄。韓國受到NodeDoS的影響最為嚴(yán)重,占所有感染數(shù)量的51%。
UPnP問題嚴(yán)峻,需要多方共同努力
作為安全廠商:
(1)可以在掃描類產(chǎn)品中加入U(xiǎn)PnP掃描能力,及時(shí)發(fā)現(xiàn)客戶網(wǎng)絡(luò)中存在的安全隱患。
(2)可以在防護(hù)類產(chǎn)品中加入對(duì)于SSDP和SOAP的流量檢測(cè)能力,及時(shí)發(fā)現(xiàn)客戶網(wǎng)絡(luò)中存在的安全威脅。
作為設(shè)備開發(fā)商:
(1)遵循OCF 的建議,產(chǎn)品在實(shí)現(xiàn)的時(shí)候加入對(duì)各類操作權(quán)限進(jìn)行限制、對(duì)端口轉(zhuǎn)發(fā)租用時(shí)間進(jìn)行限制等安全機(jī)制。
(2)在產(chǎn)品中采用較為安全的UPnP SDK。
(3)提供設(shè)備的自動(dòng)升級(jí)服務(wù)。
(4)嚴(yán)格按照UPnP規(guī)范,如果沒有需要,不將UPnP相關(guān)端口暴露在互聯(lián)網(wǎng)上。
作為監(jiān)管部門:
(1)對(duì)于網(wǎng)絡(luò)中的UPnP威脅進(jìn)行監(jiān)控,發(fā)現(xiàn)問題進(jìn)行通報(bào)。
(2)提高人們的UPnP安全意識(shí)。
(3)推動(dòng)設(shè)備中UPnP功能的安全評(píng)估,如設(shè)備不滿足相關(guān)要求,禁止設(shè)備上市等。
作為用戶:
(1)如無需要,關(guān)閉路由器的UPnP功能。
(2)借助工具,自查端口映射表,發(fā)現(xiàn)異常條目,及時(shí)清除。
(3)及時(shí)升級(jí)路由器等包含UPnP功能的設(shè)備的固件。
更多對(duì)于UPnP的分析,請(qǐng)關(guān)注綠盟科技《2018物聯(lián)網(wǎng)安全年報(bào)》。
免責(zé)聲明:本文僅代表作者個(gè)人觀點(diǎn),與每日科技網(wǎng)無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí),對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾,請(qǐng)讀者僅作參考,并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。
本網(wǎng)站有部分內(nèi)容均轉(zhuǎn)載自其它媒體,轉(zhuǎn)載目的在于傳遞更多信息,并不代表本網(wǎng)贊同其觀點(diǎn)和對(duì)其真實(shí)性負(fù)責(zé),若因作品內(nèi)容、知識(shí)產(chǎn)權(quán)、版權(quán)和其他問題,請(qǐng)及時(shí)提供相關(guān)證明等材料并與我們聯(lián)系,本網(wǎng)站將在規(guī)定時(shí)間內(nèi)給予刪除等相關(guān)處理.
精彩推薦
-
采購拿回扣問題,教你一個(gè)小妙招,看看怎么做!
2017-09-18 11:09 廣告 閱讀
-
苦逼的老板,教你一個(gè)小妙招,怎么防采購拿回扣!
2017-09-18 11:09 廣告 閱讀
-
廣告商城平臺(tái)化:傳播易做大做強(qiáng)已成趨勢(shì)
2020-11-17 14:32:12 更新 閱讀
-
尖貨爆料!速來【數(shù)碼預(yù)爆臺(tái)】領(lǐng)取618福利和AI新
2024-06-21 18:33:22 更新 閱讀
-
喜獲國際設(shè)計(jì)大獎(jiǎng)丨十字勛章減重大師Pro商務(wù)背包
2024-06-12 14:04:28 更新 閱讀
-
Baseus倍思音頻品鑒會(huì):一場(chǎng)產(chǎn)品與技術(shù)的對(duì)話
2024-05-29 11:13:32 更新 閱讀
-
212攜手極致軍工品質(zhì),煥新出發(fā)
2024-05-22 21:16:00 更新 閱讀
-
第四屆全球應(yīng)用算法BPAA大賽再度升級(jí),增添三大
2024-05-17 17:55:36 更新 閱讀
-
三維天地助力實(shí)驗(yàn)室質(zhì)量管理工作無紙化、流程化
2024-05-09 15:35:04 更新 閱讀