Ruteri ne implementiraju dovoljnu zaštitu i autentifikaciju za UPnP

Kućni ruteri ne implementiraju dovoljno nasumičan UUID( universally unique identifier ) u UPnP kontorlnim URL-ovima, kao ni potrebne sigurnosne mjere.

UPnP ( Universal Plug and Play ) je set protokola koji omogućuje automacko otkrivanje i interakciju sa mrežnim uređajem. UPnP je originalno dizajniran za privatne mreže, sa autorizovanim korisnicima, te nisu implementirane mjere autentifikacije. Naknadno je razvijen sigurnosni standard za UPnP, koji su proizvođači trebali implementirati.

Loša implementacija pruža napadačima veliku mogućnost eksplatacije. U slučaju da napadač pogodi kontrolni URL za UPnP u mogućnosti je da promjeni podešavanja kućnog rutera, kao što su otvoreni portovi što mu omogućuje dalji pristup kućnoj mreži. Pogađanje kontrolnog URL-a je relativno jednostavno, jer mnogi proizvođači koriste standardne UPnP URL-ove.

Trenutno ne postoji apsolutno riješenje za ovaj problem, ali slijedeći koraci vam mogu pružiti određenu sigurnost :

Za korisnike :

Nemojte iči na URL-ove koji su vam nepoznati.
Isključite UPnP – Neki korisnici moraju imati uključen UPnP u svojim mrežama, ako ste jedan od njih procijenite rizik upotrebe.

Za proizvođače :

Odaberite dobar nasumičan UUID za kontrolne URL-ove
Implementirajte posljednje UPnP standarde.

Neki od proizvođača pogođenih ovim problemom su Cisco, D-Link, Huawei.

Izvor:www.kb.cert.org

Značaj ranjivosti:INFORMATIVNO

Platforma:Ostalo

CVE oznaka:N/A

Ruteri ne implementiraju dovoljnu zaštitu i autentifikaciju za UPnP

Ruteri ne implementiraju dovoljnu zaštitu i autentifikaciju za UPnP

Leave a Reply Cancel reply

MITRE CVE Twitter feed

CERTRS Kontakt informacije

Vlada republike srpske

Akademska istraživačka mreža republike srpske