banner
banner
banner

安全能力

安全能力

UPnP设备漏洞检测工具

发布时间:2021-10-07 点击次数:[]

由于UPnP SSDP发现服务在成百上千设备中间的“错误配置”,网络上对UPnP发现请求的回应导致超过8000万的独立IP地址被识别出来。所有通过SSDP被发现的UPnP实例中,超过73%是由仅仅四个软件开发工具包衍生出来,这种单一性导致了漏洞的存在。

除此之外,UPnP SOAP服务可以访问一些本不应该被不信任网络端口访问设备的功能,比如说在防火墙上打开一个漏洞。Rapid7同样表示,两款最常用的UPnP软件函数库都有着被远程操纵的弱点。比如,Portable UPnP SDK中,通过单一的UDP数据包,超过2300万个IP地址容易被远程代码攻击。目前已经有一个补丁来解决这个问题,但是想让这个补丁预装到供应商的设备中还需要很长的过程。

研究人员表示,超过1500个供应商和6900款产品都有一个以上这样的安全漏洞,贝尔金、思科和美国网件的产品都未能幸免。除非被修补,否则这些漏洞会让黑客轻易的访问到机密商业文件和密码,或者允许他们远程控制打印机和网络摄像头。

下载地址:http://www.rapid7.com/resources/free-security-software-downloads/universal-plug-and-play-jan-2013.jsp