UPnP存在安全漏洞 全球设备面临巨大风险

　　【搜狐数码消息】1月30日消息，网络安全研究机构的研究表明，网络系统的常规漏洞很可能会使得电脑、打印机和存储设备面临巨大的风险。而根据安全风险信息解决方案提供商Rapid7的分析，全球范围内路由器和标准网络设备使用的技术有着巨大的漏洞，这可能导致黑客们轻易地就能侵入4000万-5000万台设备。

　　目前，我们使用的UPnP网络标准就是漏洞所在。这种网络设置的标准协议允许电脑、打印机和Wi-Fi接入设备发现彼此并完成信息传递。一旦设备发现彼此之后，他们就会通过网络进行连接以便交换数据、分享网络连接能力或者连接打印。

　　在今天公布的白皮书中，研究人员表示虽然UPnP使得网络设置变得廉价和高效，但是它其中却隐藏着不少的安全隐患。白皮书指出，常规UPnP发现协议（SSDP）实施起来存在着编程缺陷，黑客可以利用这个漏洞摧毁现有的服务，随意执行代码。同时私人网络的UPnP控制界面（SOAP）也有安全隐患，而UPnP HTTP和SOAP都存在着不小的编程缺陷。

　　由于UPnP SSDP发现服务在成百上千设备中间的“错误配置”，网络上对UPnP发现请求的回应导致超过8000万的独立IP地址被识别出来。所有通过SSDP被发现的UPnP实例中，超过73%是由仅仅四个软件开发工具包衍生出来，这种单一性导致了漏洞的存在。

　　除此之外，UPnP SOAP服务可以访问一些本不应该被不信任网络端口访问设备的功能，比如说在防火墙上打开一个漏洞。Rapid7同样表示，两款最常用的UPnP软件函数库都有着被远程操纵的弱点。比如，Portable UPnP SDK中，通过单一的UDP数据包，超过2300万个IP地址容易被远程代码攻击。目前已经有一个补丁来解决这个问题，但是想让这个补丁预装到供应商的设备中还需要很长的过程。

　　研究人员表示，超过1500个供应商和6900款产品都有一个以上这样的安全漏洞，贝尔金、思科和美国网件的产品都未能幸免。除非被修补，否则这些漏洞会让黑客轻易的访问到机密商业文件和密码，或者允许他们远程控制打印机和网络摄像头。

　　Chris Wysopal是Veracode杀毒软件公司的首席技术人员，他告诉路透社说关于UPnP的发现会引起人们的普遍关注。人们会进行更深入的研究，而研究结果可能表明，这种标准协议更不安全。

　　为了同潜在的威胁斗争，研究人员建议终端用户、公司和网络服务供应商应在自己的系统和网络中禁用一切UPnP端口。值得注意的是，目前很多设备都默认允许UPnP的使用。（康平）