שוסטר ושוסטר: חשמל-יהלומים-בייסבול
UPnP מאפשר להתקנים ברשת לגלות אחד את השני באופן אוטומטי להקים תצורות עבודה המאפשרות שיתוף נתונים, זרימת מדיה, מדיה p בקרת לייקבק ושירותים אחרים. בתרחיש נפוץ אחד, יישום שיתוף קבצים הפועל במחשב יכול לספר לנתב באמצעות UPnP כדי לפתוח יציאה ספציפית ולמצוא אותה לכתובת הרשת המקומית של המחשב כדי לפתוח את שירות שיתוף הקבצים שלה למשתמשי האינטרנט.
UPnP מיועד לשימוש בעיקר ברשתות מקומיות. עם זאת, חוקרי אבטחה של Rapid7 מצאו יותר מ -80 מיליון כתובות IP ייחודיות (Internet Protocol), שהגיבו לבקשות גילוי UPnP דרך האינטרנט, במהלך סריקות שבוצעו בשנה שעברה בין יוני לנובמבר. [
[קריאה נוספת: כיצד להסיר תוכנות זדוניות מ- מחשב Windows שלך]
יתר על כן, הם מצאו כי 20 אחוזים, או 17 מיליון, של כתובות IP אלה תואמים התקנים שחשפו את שירות SOAP UPnP (Simple Object Access Protocol) לאינטרנט. שירות זה יכול לאפשר לתוקפים לכוון מערכות שמאחורי חומת האש ולחשוף מידע רגיש אודותם, אמרו החוקרים של Rapid7. על סמך תגליות התגובות של UPnP הצליחו החוקרים לטבוע טפסים ייחודיים ולגלות את ספריית UPnP שבה הם משתמשים. הם מצאו כי למעלה מרבע מהם היו UPnP מיושם באמצעות ספרייה בשם UPNP Portable SDK.שמונה פגיעויות ניצול מרחוק זוהו SDK נייד UPnP, כולל שניים שיכולים לשמש לביצוע קוד מרחוק, אמרו החוקרים. "
" הפגיעויות שזיהינו ב - SDK נייד UPnP תוקנו כמו בגירסה 1.6.18 (שפורסמו היום), אבל זה ייקח הרבה זמן לפני כל יישום וספקים המכשיר לשלב תיקון זה לתוך המוצרים שלהם, "יותר מ -23 מיליון כתובות IP מאלה שזוהו במהלך הסריקות התאימו למכשירים שיכולים להינזק דרך הפגיעות המתקדמת של UPnP SDK על-ידי שליחת מסמך יחיד בעל מבנה מיוחד UDP מנות אליהם, על פי מור.
פגיעויות נוספות, כולל אלה שניתן להשתמש בהם מניעת שירות והתקפות ביצוע קוד מרחוק, גם קיימים בספריה UPnP מיניופ. למרות שפגיעות זו טופלה בגרסאות MiniUPnP שפורסמו ב -2008 וב -2009, 14% מהתקני UPnP שנחשפו לאינטרנט השתמשו בגרסת MiniUPnP 1.0 הפגיעה, אמרו החוקרים של Rapid7.
בעיות אחרות זוהו בגרסה האחרונה, אך הם לא ייחשפו בפומבי עד שמפתח הספרייה יפרסם תיקון כדי לטפל בהם, הם אמרו. "בסך הכל, הצלחנו לזהות יותר מ -6,900 גרסאות מוצרים שהיו פגיעות באמצעות UPnP" אמר מור. "רשימה זו מקיפה יותר מ -1,500 ספקים ורק לוקחת בחשבון התקנים שחשפו את שירות ה- UPnP SOAP לאינטרנט, פגיעות רצינית בפני עצמה".
Rapid7 פרסם שלוש רשימות נפרדות של מוצרים החשופים לליקויים ניידים של UPnP SDK, MiniUPnP פגמים, אשר לחשוף את שירות SOAP UPnP לאינטרנטבלקין, סיסקו, Netgear, D-Link ו- Asus, שלכולן יש מכשירים פגיעים על פי רשימות שפורסמו על ידי Rapid7, לא הגיבו מיד לבקשות להערות שנשלחו ביום שלישי.
מור סבור שברוב המקרים התקני רשת שכבר אינם מכירתם לא תעודכן ותישאר חשופה להתקפות מרוחקות ללא הגבלת זמן, אלא אם כן הבעלים שלהם ישבית באופן ידני את הפונקציונליות של UPnP או יחליף אותם.
"ממצאים אלה מוכיחים כי יותר מדי ספקים עדיין לא למדו את היסודות של תכנון התקנים כברירת מחדל תצורה מאובטחת וחזקה ", אמר תומאס קריסטנסן, קצין הביטחון הראשי במכון המחקר והפגיעות של חברת Secunia. "התקנים המיועדים לחיבורי אינטרנט ישירים לא יפעילו כלל שירותים בממשקים הציבוריים שלהם, במיוחד לא שירותים כמו UPnP, המיועדים אך ורק לרשתות מקומיות 'מהימנות'."
Kristensen סבור כי רבים מהתקנים הפגיעים סביר להניח שיישארו ללא שינוי עד להחלפתם, גם אם היצרנים שלהם ישחררו עדכוני קושחה.
משתמשי מחשב רבים אפילו לא מעדכנים את תוכנת המחשב שהם משתמשים בהם לעתים קרובות והם מכירים. המשימה של מציאת ממשק האינטרנט של התקן רשת פגיע, קבלת עדכון קושחה ועברת תהליך העדכון כולו, עשויה להיות מאיימת מדי עבור משתמשים רבים, הוא אמר.
המחקר של Rapid7 כולל המלצות אבטחה עבור ספקי שירותי אינטרנט, עסקים ומשתמשים ביתיים.
ספקי שירותי אינטרנט יעצו לדחוף עדכוני תצורה או עדכוני קושחה למכשירי מנוי כדי להשבית את יכולות UPnP או להחליף התקנים אלה עם אחרים המוגדרים באופן מאובטח ולא לחשוף את UPnP "משתמשי ה- Home וה- PC הניידים צריכים להבטיח שהפונקציה UPnP על נתבי הבית שלהם והתקני הפס הרחב הניידים שלהם הושבתה", אמרו החוקרים. בנוסף לכך, כדי לוודא שאף התקן שפונה מבחוץ אינו חושף את UPnP אל האינטרנט, מומלץ לחברות לבצע בדיקה מדוקדקת של ההשפעה הביטחונית הפוטנציאלית של כל ההתקנים המסוגלים על ידי UPnP הנמצאים ברשתות שלהם - מדפסות ברשת, מצלמות IP, מערכות אחסון וכו '- ולשקול לפלח אותם מהרשת הפנימית עד עדכון קושחה זמין מהיצרן.
Rapid7 פרסמה כלי חינם בשם ScanNow עבור Universal Plug and Play, כמו גם מודול למסגרת בדיקות חדירה Metasploit, אשר ניתן להשתמש בהם כדי לזהות שירותי UPnP פגיע פועל בתוך הרשת.
עודכן בשעה 1:45 PT כדי לתקן את התאריך שבו בקשות תגובה נשלחו לחברות עם מכשירים פגיעים
> יאהו יכולה להוסיף מיליוני דולרים לשורה התחתונה שלה באמצעות מערכת בינה מלאכותית חדשה כדי להבין אילו סיפורים חדשותיים מקורביו אוהבים, כך דיווחה חוקר החברה ביום חמישי.
בחודשים האחרונים, יאהו בודקת מערכת המסייעת הוא מזהה את ההיבט החמקמק ביותר של סיפור: בין אם הוא חם או לא.
מיקרוסופט ונוקיה יחשפו ברית של יום רביעי כי סביר לחשוף תוכנית לספק יישומי Microsoft Office ב נוקיה ו- Nokia מתכננים לחשוף ברית ביום רביעי, אשר צפויה לחשוף תוכנית להעביר את יישומי Office של מיקרוסופט למכשירי Nokia.
נשיא חטיבת העסקים של מיקרוסופט, סטיבן אלופ, וקאי אויסטאמו, סגן נשיא בכיר למכשירי Nokia, תארח מחר (יום ב ') שיחת ועידה מניו יורק כדי לדון בברית. הוא לא אמר מה תהיה הברית. [
דוח: הכנופיה הרוסית מקושרים סיטיבנק הגדול <<9> ה- FBI הוא בודק את גניבת של עשרות מיליוני דולרים של סיטינק על ידי האקרים מקושרים אל כנופיית רוסים, אמר ה"וול סטריט ג'ורנל " הרשויות חוקרות את גניבתם של עשרות מיליוני דולרים מסיטיבנק על ידי האקרים באמצעות תוכנה רוסית המותאמת לפיגועים, על פי דיווח חדשותי.
הפרת האבטחה בבנק המרכזי בארה"ב זוהתה באמצע השנה על סמך על פי נתוני האינטרנט, שהשתמשו בעבר בכנופיה של רשת העסקים הרוסית, כך דווח בוול סטריט ג'ורנל. רשת העסקים הרוסית היא קבוצה ידועה המקושרת לתוכנות זדוניות, פריצה, פורנוגרפיה של ילדים ודואר זבל. על פי הדו"ח, לא היה ידוע אם הכסף כבר התאושש ונציג סיטיבנק אמר כי לחברה לא היתה שום הפרה של המערכת או הפסדים. > [לקריאה נוספת: כיצד להסיר תוכנות זדוניות מהמחשב של Windows]