您的瀏覽器似乎不支援JavaScript語法,但沒關係,這裡的JavaScript語法並不會影響 到內容的陳述, 如需要選擇字級大小,IE6請利用鍵盤按住ALT鍵+ V → X → (G)最大 (L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小, 而IE7或Firefox瀏覽器則可 利用鍵盤 Ctrl + (+)放大(-)縮小來改變字型大小,如需要回到上一頁可使用瀏覽器提 供的 Alt+左方向鍵(←) 快速鍵功能,列印可使用瀏覽器提供的(Ctrl+P)功能。
News Detail Banner
:::

UPnP協定存在CallStranger漏洞

IoT裝置仰賴之UPnP協定遭揭露存有安全漏洞,駭客可藉此漏洞竊取資料、發動分散式阻斷服務攻擊(DDoS)及掃描探測連接埠以挖掘潛在受害目標。

 

研究人員於UPnP協定中發現SUBSCRIBE功能之Callback header值可被駭客操控,該漏洞本質近似於伺服器端之請求偽造(Server-Side Request Forgery, SSRF)漏洞,稱之為CallStranger漏洞,CVE編號為CVE-2020-12695。由於該協定用途為使物聯網裝置探索區域網路(LAN)中其他鄰近裝置,並自動與之互相連接溝通,因此駭客可利用CallStranger漏洞繞過資料外洩防護(Data Loss Prevention, DLP)機制與防火牆等網路安全機制,竊取機敏資料、掃描內網及利用各種連網裝置發動傳輸控制協定之分散式阻斷服務攻擊(TCP DDoS)。

 

研究人員認為,資料外洩係CallStranger漏洞可能引發之最大風險,此外,由於該漏洞可用於發動DDoS攻擊,因此未來各種殭屍網路(Botnet)亦可能藉由使用者端點裝置大量執行此攻擊手法。

 

UPnP協定由開放互連基金會(Open Connectivity Foundation, OCF)管理,基金會於2019年12月接獲該漏洞通報,並於2020年4月透過UPnP標準更新修補該漏洞。因該漏洞存在於UPnP協定中,受影響之製造商須花費一段時間才能修補。

Reference

資料來源:

https://securityboulevard.com/2020/06/callstranger-is-exactly-the-type-of-vulnerability-isps-fear/

https://www.zdnet.com/article/callstranger-vulnerability-lets-attacks-bypass-security-systems-and-scan-lans/

技術服務中心整理

Publish Date
2020/6/17 0:00:00