即插即用错误暴露了数百万网络设备

周一，一名研究人员报告称，一个几乎被所有物联网设备使用的协议漏洞使数百万用户面临潜在的攻击。故障集中在通用即插即用协议上，该协议实施了12年，简化了计算机、打印机、移动设备和Wi-Fi接入点等网络设备之间的连接。

报告指出，从理论上讲，数以亿计的设备都是易受攻击的，但目前只有那些激活了“通用即插即用”的设备才面临被攻击的风险。

土耳其安全工程师Yunus Cadirci发现了一个名为CallStranger的通用即插即用漏洞，这个漏洞可以被用来访问任何智能设备，比如连接到互联网的安全摄像头、打印机和路由器。一旦获得访问权限，恶意代码可以通过网络防火墙和其他安全防御系统发送，并到达内部数据库。

这个漏洞还允许攻击者偷偷地聚集大量的设备来进行拒绝服务攻击，这些攻击用流量淹没目标、阻塞合法流量、淹没处理资源并导致系统崩溃。

Cadirci经营着一个网站，专门提供关于CallStranger漏洞的信息。去年晚些时候，他第一次发现了这个问题，并通知了开放连接基金会，后者已经更新了通用即插即用规范来解决这个问题。供应商和互联网服务供应商要求在他们有时间解决这个问题之前暂不发布漏洞通知。

“因为这是一个协议漏洞，供应商可能需要很长时间才能提供补丁，”Cadirci在他的报告中说。由于一些制造商还没有纠正这个问题，而且许多物联网设备从未收到更新，消费者应该联系他们使用的通用即插即用设备的制造商，以确定是否有软件或硬件补丁可用。

众所周知，通用即插即用很容易让用户受到攻击。2013年的一项研究项目证实，超过8100万部本应在本地网络中受到保护的设备，实际上在这些网络之外，潜在的恶意行为者可以看到它们。

“我们认为数据泄露是呼叫陌生人的最大风险，”Cadirci说。检查日志是至关重要的，如果任何威胁参与者在过去使用这个。因为它也可以用于分布式拒绝服务请求，我们预计僵尸网络将开始通过消费终端用户设备来实现这种新技术。”

安全专家建议用户在不需要联网的设备上禁用通用即插即用。路由器通常通过取消“设置”菜单中的复选框来禁用“通用即插即用”。

Cadirci测试并确认了数十种设备的漏洞，包括微软、华硕、博通、思科、D-Link、爱普生、惠普、华为、NEC、飞利浦和三星。

Cadirci解释说，攻击者使用通用即插即用的订阅功能来传输TCP包，这些包带有被操纵的回调头值。这使得入侵者能够接入与互联网持续连接的设备。