Что такое upnp в маршрутизаторе

Обновлено: 21.11.2024

Удобство UPnP связано с дырами в безопасности, которые варьируются от получения злоумышленниками контроля над устройствами до обхода защиты брандмауэра. Мы изучили события, связанные с UPnP, в домашних сетях и обнаружили, что многие пользователи по-прежнему используют UPnP на своих устройствах."

Автор: Тони Янг, 6 марта 2019 г. Время чтения: (слова)

Ранее в этом году пользователи устройств Chromecast для потоковой передачи, устройств Google Home и смарт-телевизоров были завалены сообщениями, рекламирующими канал ютубера PewDiePie. Угон, как говорят, является частью продолжающейся битвы за количество подписчиков на сайте обмена видео. Сообщается, что хакеры, стоящие за этим, воспользовались плохо настроенными маршрутизаторами с включенной службой Universal Plug and Play (UPnP), из-за чего маршрутизаторы перенаправляли общедоступные порты на частные устройства и были открыты для общедоступного Интернета.

Многие устройства, такие как камеры, принтеры и маршрутизаторы, используют UPnP, чтобы упростить автоматическое обнаружение и проверку других устройств в локальной сети и связь друг с другом для обмена данными или потоковой передачи мультимедиа. UPnP работает с сетевыми протоколами для настройки связи в сети. Но с его удобством появляются дыры в безопасности, которые варьируются от получения злоумышленниками контроля над устройствами до обхода защиты брандмауэра.

После вышеупомянутого инцидента мы изучили события, связанные с UPnP, в домашних сетях и обнаружили, что многие пользователи по-прежнему используют UPnP на своих устройствах. Мы собрали данные с помощью нашего бесплатного инструмента сканирования IoT, который может охватывать несколько операционных систем, включая платформы Mac, Windows, Android и iOS. В этом блоге мы обсуждаем данные за январь 2019 года.

Тип устройства Общее количество устройств Количество устройств с включенным UPnP Процент устройств с включенным UPnP
Маршрутизаторы 46 614 35 400 76%
Медиаустройства 21 496 5832 27%
Игровые приставки 5138 960 19%
ПК 33 173 5778 17%
Устройства NAS 4333 474 11%
Камеры 2105 189 9%
Smart TV 10 005 503 5%
Принтеры 17 265 568 3%

Таблица 1. Основные типы устройств с поддержкой UPnP

В январе мы обнаружили 76 % маршрутизаторов с включенным UPnP. Более того, 27% мультимедийных устройств, например DVD-плееры и устройства для потоковой передачи мультимедиа, также поддерживают UPnP. Уязвимые реализации UPnP при использовании могут превратить маршрутизаторы и другие устройства в прокси-серверы для сокрытия источников ботнетов, распределенных атак типа «отказ в обслуживании» (DDoS) или спама, что делает практически невозможным отслеживание злонамеренных действий. Ранее уже появлялись сообщения о том, что маршрутизаторы с уязвимыми реализациями UPnP были вынуждены подключаться к портам и даже отправлять спам или другие вредоносные сообщения в известные почтовые службы.

Например, ботнет IoT Satori печально известен тем, что использует уязвимость UPnP. Уязвимость, обозначенная как CVE-2014-8361, представляет собой уязвимость внедрения команд в интерфейс Realtek SDK miniigd UPnP SOAP. В мае 2015 года было опубликовано публичное уведомление об этой уязвимости с соответствующими мерами по ее устранению, однако, судя по последним собранным нами данным, многие устройства по-прежнему используют старые, потенциально уязвимые версии UPnP.

Рис. 1. Результаты, связанные с UPnP, с портом 1900 в Shodan (данные на 5 марта 2019 г.)

Мы также расширили возможности сканирования с помощью поисковой системы Shodan. Сканирование стандартного порта, используемого UPnP, то есть 1900, дало 1 649 719 устройств, доступных для поиска в общедоступном Интернете. Известные библиотеки UPnP также были перечислены в поисковой системе, а MiniUPnPd и Custom (библиотека UPnP от Broadcom) использовались в большинстве доступных для поиска устройств.

Процент
MiniUPnPd 35%
Пользовательский 20%
LibUPnP (Portable SDK/Intel SDK) 1%

Таблица 2. Три лучшие библиотеки UPnP в результатах Shodan (данные на 5 марта 2019 г.)

Уязвимости, связанные с UPnP, и текущие реализации устройств в домашних сетях

Результаты Shodan показали масштаб общедоступных устройств с поддержкой UPnP. С помощью нашего собственного инструмента сканирования мы изучили библиотеки UPnP, используемые дома и в других небольших сетевых средах, и определили, какие факторы могут быть факторами, делающими устройства уязвимыми для атак. Короче говоря, мы обнаружили, что большинство устройств по-прежнему используют старые версии библиотек UPnP. Уязвимости, связанные с библиотеками UPnP, существуют уже несколько лет, потенциально не исправлены и делают подключенные устройства незащищенными от атак.

Данные нашего инструмента сканирования Интернета вещей показали, что 16 % устройств с включенным UPnP используют библиотеку MiniUPnPd. MiniUPnPd — это хорошо известный демон UPnP для маршрутизаторов NAT (преобразование сетевых адресов), предоставляющий услуги протокола сопоставления портов. Интересно, что на обнаруженных нами устройствах установлены старые версии MiniUPnPd: 24% используют MiniUPnPd 1.0, 30% — MiniUPnPd 1.6 и только 5% устройств используют версию MiniUPnPd 2.x (miniupnpd 2.1 — последняя версия).

Крис Хоффман

Крис Хоффман
Главный редактор

Крис Хоффман – главный редактор How-To Geek. Он писал о технологиях более десяти лет и два года был обозревателем PCWorld. Крис писал для The New York Times, давал интервью в качестве эксперта по технологиям на телевизионных станциях, таких как NBC 6 в Майами, и освещал свою работу в таких новостных агентствах, как BBC. С 2011 года Крис написал более 2000 статей, которые были прочитаны почти миллиард раз — и это только здесь, в How-To Geek. Подробнее.

UPnP включен по умолчанию на многих новых маршрутизаторах. В какой-то момент ФБР и другие эксперты по безопасности рекомендовали отключить UPnP по соображениям безопасности. Но насколько безопасен UPnP сегодня? Мы торгуем безопасностью ради удобства при использовании UPnP?

UPnP расшифровывается как Universal Plug and Play. Используя UPnP, приложение может автоматически перенаправлять порт на вашем маршрутизаторе, избавляя вас от необходимости вручную перенаправлять порты. Мы рассмотрим причины, по которым люди рекомендуют отключать UPnP, чтобы получить четкое представление о рисках безопасности.

Вредоносное ПО в вашей сети может использовать UPnP

Вирус, троянский конь, червь или другая вредоносная программа, которой удается заразить компьютер в вашей локальной сети, может использовать UPnP, как и законные программы. В то время как маршрутизатор обычно блокирует входящие соединения, предотвращая некоторый вредоносный доступ, UPnP может позволить вредоносной программе полностью обойти брандмауэр. Например, троянский конь может установить на ваш компьютер программу удаленного управления и открыть для нее дыру в брандмауэре вашего маршрутизатора, обеспечивая круглосуточный доступ к вашему компьютеру из Интернета. Если бы UPnP был отключен, программа не смогла бы открыть порт, хотя могла бы обойти брандмауэр другими способами и позвонить домой.

Это проблема? да. От этого никуда не деться — UPnP предполагает, что локальные программы заслуживают доверия, и позволяет им перенаправлять порты. Если вам важно, чтобы вредоносное ПО не могло переадресовывать порты, отключите UPnP.

ФБР приказало людям отключить UPnP

Ближе к концу 2001 года Национальный центр защиты инфраструктуры ФБР рекомендовал всем пользователям отключить UPnP из-за переполнения буфера в Windows XP. Эта ошибка была исправлена ​​патчем безопасности. На самом деле NIPC выпустили исправление для этого совета позже, после того, как поняли, что проблема была не в самом UPnP. (Источник)

Это проблема? Нет. Хотя некоторые люди могут помнить рекомендацию NIPC и негативно относиться к UPnP, в то время этот совет был ошибочным, и конкретная проблема была устранена патчем для Windows XP более десяти лет назад.

Атака Flash UPnP

UPnP не требует от пользователя никакой аутентификации. Любое приложение, работающее на вашем компьютере, может попросить маршрутизатор перенаправить порт по UPnP, поэтому вредоносное ПО, указанное выше, может злоупотреблять UPnP. Вы можете предположить, что вы в безопасности, пока на каких-либо локальных устройствах не запущено вредоносное ПО, но вы, вероятно, ошибаетесь.

Атака Flash UPnP была обнаружена в 2008 году. Специально созданный апплет Flash, работающий на веб-странице в вашем веб-браузере, может отправить запрос UPnP на ваш маршрутизатор и попросить его перенаправить порты. Например, апплет может запросить у маршрутизатора перенаправление портов 1-65535 на ваш компьютер, фактически открывая его для всего Интернета. Однако после этого злоумышленнику придется использовать уязвимость в сетевой службе, работающей на вашем компьютере, — использование брандмауэра на вашем компьютере поможет защитить вас.

Это проблема? да. Я не могу найти никаких указаний на то, что это когда-либо было исправлено. Даже если бы это было исправлено (это было бы сложно, так как это проблема самого протокола UPnP), многие старые маршрутизаторы, которые все еще используются, были бы уязвимы.

Неправильная реализация UPnP на маршрутизаторах

Веб-сайт UPnP Hacks содержит подробный список проблем безопасности, связанных с тем, как различные маршрутизаторы реализуют UPnP. Это не обязательно проблемы с самим UPnP; это часто проблемы с реализациями UPnP. Например, многие реализации UPnP маршрутизаторов не проверяют ввод должным образом. Вредоносное приложение может попросить маршрутизатор перенаправить сетевой трафик на удаленные IP-адреса в Интернете (вместо локальных IP-адресов), и маршрутизатор подчинится. На некоторых маршрутизаторах на базе Linux можно использовать UPnP для запуска команд на маршрутизаторе. (Источник) На веб-сайте перечислены многие другие подобные проблемы.

Это проблема? Да! Миллионы маршрутизаторов в дикой природе уязвимы. Многие производители маршрутизаторов плохо защищают свои реализации UPnP.

Стоит ли отключать UPnP?

Когда я начал писать этот пост, я ожидал, что недостатки UPnP довольно незначительны, просто вопрос безопасности в обмен на некоторое удобство. К сожалению, похоже, что у UPnP много проблем. Если вы не используете приложения, требующие переадресации портов, такие как одноранговые приложения, игровые серверы и многие программы VoIP, возможно, вам лучше полностью отключить UPnP. Интенсивные пользователи этих приложений захотят подумать, готовы ли они отказаться от некоторой безопасности ради удобства. Вы по-прежнему можете перенаправлять порты без UPnP; это просто немного больше работы. Ознакомьтесь с нашим руководством по переадресации портов.

С другой стороны, эти недостатки маршрутизатора активно не используются в дикой природе, поэтому фактическая вероятность того, что вы столкнетесь с вредоносным программным обеспечением, использующим недостатки в реализации UPnP вашего маршрутизатора, довольно низка. Некоторые вредоносные программы используют UPnP для перенаправления портов (например, червь Conficker), но мне не попадались примеры вредоносных программ, использующих эти недостатки маршрутизатора.

Как его отключить? Если ваш маршрутизатор поддерживает UPnP, вы найдете возможность отключить его в веб-интерфейсе. Дополнительную информацию см. в руководстве к маршрутизатору.

Вы не согласны с безопасностью UPnP? Оставьте комментарий!

от Филипа Робинсона Обновлено — 08.06.2021 Общее

Что такое UPnP?

Universal Plug and Play (UPnP) — это то, с чем, вероятно, все мы столкнулись, даже не осознавая этого. Если вы когда-нибудь покупали новый принтер и замечали, что ваш компьютер, телефон и планшет могут автоматически распознавать устройство, значит, вы использовали UPnP. Если вы хотите проиграть эту песню со своего телефона немного громче, транслировав ее на Alexa или другой беспроводной динамик, это UPnP.

Часто в сочетании с другим широко используемым аббревиатурой IoT (интернет вещей) UPnP был разработан просто для того, чтобы сделать связь между устройствами более простой и удобной. Короче говоря, UPnP помогает автоматизировать процесс обнаружения устройств и подключения к сети.

Однако, учитывая рост числа утечек данных и рост числа людей, заботящихся о безопасности, безопасен ли UPnP? Во-первых, нам нужно кратко объяснить, как это работает.

Как работает UPnP?

С точки зрения потребителя UPnP — самая простая вещь в мире. Вы приносите домой новое устройство, подключаете его к сети, и внезапно все остальные устройства в этой сети могут автоматически связываться с ним. Вся грязная работа делается за кулисами. Если бы мы разобрали его и посмотрели, что происходит на самом деле, то увидели бы следующее:

  1. Устройство подключается к сети
  2. Устройство получает IP-адрес
  3. Устройство получает имя и отображается под этим именем в сети.
  4. Устройство подключается к другим устройствам в сети и обменивается данными

Важно отметить, что IP-адрес не является обязательным условием для UPnP, поскольку многие устройства, связанные с Интернетом вещей (например, умные лампочки и умные кофемашины), могут обмениваться данными через Bluetooth с радиочастотной идентификацией (RFID).

Опасности UPnP

Многие утверждают, что UPnP изначально небезопасен. Это протокол, предназначенный для автоматического открытия портов в брандмауэре и предоставления постороннего доступа к размещенному серверу на локальном компьютере, защищенном этим брандмауэром.

Это можно сравнить с креплением промышленного замка к двери, защищающим все ваши ценные вещи, и оставлением ключа в замке для всех желающих.

В этом смысле UPnP фактически делает брандмауэры бесполезными. Например, любой троян может установить прослушивающий сервер IRC, сервер RAT или что-то столь же вредоносное и запросить, чтобы брандмауэр открыл порт. В общем, не идеально.

Угрозы безопасности UPnP

Существует ряд распространенных угроз безопасности, связанных с UPnP, на которые многие ссылаются, рекомендуя отключить UPnP.

Интересно, что в 2001 году Национальный центр защиты инфраструктуры ФБР советовал пользователям отключать UPnP из-за переполнения буфера в Windows XP. Многие ссылаются на эту рекомендацию, говоря о потенциальной опасности UPnP.

Однако эта проблема на самом деле не имеет ничего общего с самим UPnP, и после того, как ошибка была устранена с помощью исправления безопасности, NIPC быстро исправил свои рекомендации.

Балди реализовал UPnP на маршрутизаторах

Многие проблемы, связанные с угрозами UPnP, могут быть связаны с проблемами безопасности во время реализации. Исторически сложилось так, что производители маршрутизаторов плохо защищали свои реализации UPnP, что часто приводило к тому, что маршрутизатор не проверял входные данные должным образом. Поэтому вредоносные приложения могут довольно легко использовать неверные реализации UPnP для выполнения команд или перенаправления сетевого трафика.

Вредоносное ПО, использующее UPnP

Распространенные вредоносные программы, такие как трояны, вирусы, черви и другие, могут использовать UPnP после заражения компьютера в вашей локальной сети. UPnP может позволить таким программам обходить протоколы безопасности и программное обеспечение, которые обычно блокирует маршрутизатор. UPnP по существу предполагает, что все программы легитимны, и позволяет им перенаправлять порты. Это реальная проблема, которая беспокоит многих, и, к сожалению, если она является для вас камнем преткновения, вам, вероятно, придется отключить UPnP.

Быстрая UPnP-атака

Вы могли бы подумать, что только вредоносное ПО может злоупотреблять UPnP таким образом, но атака Flash UPnP, похоже, опровергает эту идею. Если бы вы получили доступ к веб-сайту, на котором запущен определенный апплет Flash, этот апплет может отправлять запросы на ваш маршрутизатор для переадресации портов. К счастью, если это произойдет с вами, наличие брандмауэра не позволит злоумышленнику использовать любые уязвимости в ваших сетевых службах.

Однако на некоторых маршрутизаторах апплеты Flash могут нанести серьезный ущерб, изменив основной DNS-сервер с помощью запроса UPnP. Это может привести к перенаправлению вашего трафика на другой веб-сайт, создавая бесконечные возможности для кражи данных и мошенничества.

Стоит ли отключать UPnP?

В конечном счете, это вопрос мнения. UPnP удобен, но содержит довольно серьезные недостатки безопасности, некоторые из которых не могут быть устранены с помощью решений безопасности. Мы рекомендуем, если вы вообще не используете переадресацию портов, вам следует отключить UPnP. Если вы время от времени используете переадресацию портов, вам следует рассмотреть возможность переадресации без использования UPnP, что вполне возможно.

Пользователям с тяжелой переадресацией портов придется принять решение. Готовы ли вы отказаться от безопасности ради удобства UPnP? Вероятность того, что вы будете скомпрометированы через UPnP, довольно мала, но последствия могут быть большими. В конце концов, решать вам!

Обоснованы ли опасения по поводу безопасности UPnP?

Хотя обычно рекомендуется отключать UPnP на маршрутизаторе (что многие делают из принципа), некоторые задаются вопросом, необходимо ли это. Когда UPnP впервые появился на сцене в 2011 году, были некоторые вопиющие проблемы с реализацией, которые позволяли настраивать его из Интернета. Это означало, что любой мог открыть на нем любой порт. Однако за последнее десятилетие уязвимости программного обеспечения в маршрутизаторах неоднократно исправлялись с учетом требований безопасности.

Поэтому UPnP не представляет опасности по своей сути, если ваш маршрутизатор обновлен и на нем установлены все последние обновления прошивки, а на подключенных устройствах нет вредоносных программ. UPnP становится проблемой, если подключенное устройство заражено вредоносным ПО, поскольку оно может распространиться на ваши локальные устройства. Однако в этом случае большинству вредоносных программ вообще не требуется активация UPnP.

Итак, что вы можете сделать?

Вы можете отключить UPnP на своем маршрутизаторе, если хотите спокойствия. Однако в большинстве случаев, если злоумышленник хочет проникнуть в вашу сеть и вызвать хаос, для этого ему не нужен UPnP. На самом деле, кибератаки сейчас настолько распространены, что вопрос не в том, произойдет ли это с вами, а в том, когда именно.

Многие ИТ-команды и технически подкованные люди ненавидят мысль о том, что им приходится признавать поражение кибер-злоумышленникам. Но печальная правда заключается в том, что злоумышленники всегда смогут обойти систему безопасности.

Вы можете следить за тем, что нужно злоумышленникам, в первую очередь за данными. Отслеживайте взаимодействие с данными с помощью платформы Data Security Platform, которая может обнаруживать аномалии и сообщать об изменениях, внесенных в важные файлы и папки, включая события копирования.

Чтобы получить представление о том, как Lepide Data Security Platform помогает отслеживать поведение пользователей с файлами и папками, запланируйте демонстрацию решения сегодня.

Мы помогаем предприятиям определить слабые места и снизить риски утечки данных с помощью нашей БЕСПЛАТНОЙ услуги по оценке рисков, связанных с данными.

Главная / Стратегия безопасности / Что такое UPnP (Universal Plug and Play)?

Несмотря на то, что UPnP устраняет необходимость сложной настройки при добавлении нового устройства в локальную сеть, этот протокол может представлять значительный риск для ваших данных и операций. Возможность быстрого подключения устройств удобна, но скорость UPnP часто достигается ценой кибербезопасности.

Эта статья представляет собой введение в UPnP (Universal Plug and Play) и риски безопасности, связанные с этим сетевым протоколом. Читайте дальше, чтобы узнать, как работает этот протокол, и узнайте, как хакеры используют UPnP для обхода брандмауэров и создания точки входа в целевую сеть.

Что такое UPnP?

UPnP (Universal Plug and Play) – это сетевой протокол, который позволяет устройствам обнаруживать друг друга и подключаться без необходимости ручной настройки или вмешательства пользователя. Протокол автоматизирует все шаги, необходимые для распознавания и связи между устройствами в одной сети.

Основная цель UPnP — предоставить автоматизированный способ добавления и подключения нового оборудования к локальной сети. Протокол позволяет устройству подключаться к сети следующим образом:

  • Настройка IP-адреса устройства.
  • Передача имени и возможностей устройства остальной части сети.
  • Информирование нового оборудования о возможностях других подключенных устройств.
  • Предоставление сетевым устройствам возможности обмениваться данными и работать в тандеме.

Для чего используется UPnP?

Некоторые из наиболее распространенных вариантов использования UPnP включают:

  • Подключение нового принтера к каждому ПК и планшету в доме.
  • Подключение игровой консоли к игровому серверу для воспроизведения и потоковой передачи онлайн-игр.
  • Потоковая передача контента с компьютера на Smart TV.
  • Связывание беспроводной колонки с мобильным телефоном.
  • Подключение к домашней системе наблюдения, чтобы следить за домом, пока вас нет.
  • Подключение и удаленное управление системой Интернета вещей с мобильного устройства (умное освещение, интернет-термостаты, умные замки и т. д.).

Несмотря на удобство, протокол UPnP не лишен рисков. Если протокол позволяет подключиться устройству с критической уязвимостью или вредоносным ПО, опытный хакер может создать постоянную точку входа в локальную сеть. Из-за этой угрозы безопасности UPnP обычно включается только в домашних условиях, а не в сетях малого бизнеса или предприятий.

Защита требуется как для жилых, так и для коммерческих сетей. Прочтите об основах сетевой безопасности и узнайте, как специалисты удерживают злоумышленников от доступа к ценным устройствам и данным.

Как работает UPnP?

UPnP позволяет приложениям и устройствам автоматически открывать и закрывать порты для подключения к сети LAN. Этот процесс (известный как перенаправление портов или сопоставление портов) происходит на маршрутизаторе и может позволить веб-трафику проходить через внутреннюю сеть из внешнего источника.

UPnP обеспечивает автоматическую переадресацию портов между устройствами по четырем стандартам:

Поскольку протокол основан на общих сетевых стандартах, для работы UPnP не требуются дополнительные драйверы или технологии. Большинство устройств на рынке могут участвовать в UPnP независимо от их ОС, языка программирования или производителя.

С точки зрения пользователя UPnP — это простой процесс. Вы приносите домой новое устройство, подключаете его к сети, и другие ваши устройства могут мгновенно взаимодействовать с новейшим оборудованием. Однако в фоновом режиме этот процесс намного сложнее, и UPnP проходит шесть этапов всякий раз, когда вы настраиваете новое устройство:

  • Адресация.
  • Открытие.
  • Описание.
  • Контроль.
  • События.
  • Презентация.

Протокол основан на модели клиент-сервер, в которой точки управления UPnP (клиенты) ищут серверы UPnP (устройства), предоставляющие услуги. Ниже более подробно показано, что происходит на каждом этапе протокола UPnP.

Адресация

Новое устройство должно иметь уникальный IP-адрес, чтобы стать частью сети, поэтому UPnP:

  • Запрашивает IP-адрес нового устройства с сервера протокола динамической конфигурации хоста (DHCP).
  • Позволяет устройству использовать процесс AutoIP для самостоятельного назначения IP-адреса (если DHCP-сервер отсутствует).

Если устройство получает доменное имя во время транзакции DHCP (например, через DNS-сервер или через переадресацию DNS), устройство будет использовать это имя в сетевых операциях.

Не всем устройствам Интернета вещей требуется IP-адрес, например подключенным к Интернету кофейникам, термостатам и лампочкам. Вместо этого эти устройства взаимодействуют с сетью с помощью таких технологий, как Bluetooth или радиочастотная идентификация (RFID).

Открытие

Устройство использует протокол Simple Service Discovery Protocol (SSDP) для представления своих данных точкам управления сетью. Новое устройство отправляет живые сообщения SSDP с основными сведениями о своем устройстве:

  • Тип устройства.
  • Идентификатор.
  • Указатель (сетевое расположение).

В зависимости от настройки UPnP точка управления сетью может активно искать интересующие устройства или пассивно прослушивать сообщения SSDP.

Описание

Как только точка управления обнаруживает устройство, сеть должна узнать о его возможностях, прежде чем взаимодействовать с новым оборудованием. Устройство отправляет подробное описание, которое включает:

  • Информация о поставщике.
  • Название модели.
  • Серийный номер.
  • Список любых услуг.
  • URL-адреса презентаций для веб-сайтов поставщиков (необязательно).

Устройство отправляет эти сообщения в формате XML, а сеть создает документ описания устройства, в котором перечислены URL-адреса для управления, обработки событий и описания службы. Каждое описание службы также включает команды, на которые служба может реагировать, и параметры для каждого действия.

Управление

Прежде чем точка управления сможет начать взаимодействие с обнаруженным устройством, сеть отправляет сообщения для вызова действий над службами. Эти управляющие сообщения также представлены в формате XML и используют простой протокол доступа к объектам (SOAP).

Уведомление о событии (событие)

UPnP использует протокол под названием General Event Notification Architecture (GENA), который позволяет контрольной точке регистрироваться в качестве службы для получения уведомлений об изменениях состояния устройства.

Служба отправляет уведомление о событии всем зарегистрированным контрольным точкам всякий раз, когда изменяется переменная состояния. Эти простые сообщения о событиях представлены в формате XML и содержат только переменные состояния и их текущие значения.

Презентация

Если новое устройство предоставляет URL-адрес презентации на этапе описания, точка управления может получить страницу по этому URL-адресу и загрузить ее в веб-браузер. В некоторых случаях пользователь может управлять устройством или просматривать его состояние через браузер.

Степень, в которой пользователь может взаимодействовать с устройством через URL-адрес презентации, зависит от конкретных возможностей веб-страницы и устройства.

Надежен ли UPnP и какие риски для безопасности он несет?

Несмотря на преимущества UPnP, этот протокол сопряжен с двумя основными угрозами безопасности:

  • По умолчанию UPnP не проверяет подлинность устройств и просто предполагает, что каждое устройство заслуживает доверия.
  • UPnP позволяет объекту за пределами домашней сети проделывать дыры в маршрутизаторе и получать доступ к локальным устройствам, не пропуская трафик через брандмауэр.

Поскольку UPnP позволяет трафику обходить барьеры безопасности, этот протокол может привести к различным проблемам безопасности, если зараженному вредоносным ПО устройству удастся подключиться к сети.

Еще одна проблема безопасности заключается в том, что UPnP не имеет официальной реализации. У разных маршрутизаторов разные приложения, и многие развертывания содержат уникальные ошибки, связанные с UPnP, которые могут использовать хакеры.

К сожалению, многие производители маршрутизаторов включают UPnP по умолчанию, что позволяет обнаруживать устройства в локальной сети из глобальной сети. Несколько громких атак на основе UPnP произошло из-за недостатков маршрутизатора в переадресации портов, таких как:

  • Атака Flash UPnP начинается, когда жертва обращается к веб-сайту, на котором запущен определенный апплет Flash, который отправляет запросы на неисправный маршрутизатор для переадресации портов.
  • Хакеры, стоящие за атаками Mirai, атаковали маршрутизаторы с открытыми портами telnet из-за включенного UPnP. Обнаружив уязвимый маршрутизатор, хакеры использовали подмену учетных данных для доступа к сети и установили вредоносное ПО Mirai на все локальные устройства.
  • Уязвимость CallStranger также является результатом уязвимости UPnP в маршрутизаторе, из-за которой пользователи могут потерять данные.

Самым большим недостатком UPnP является то, что протокол автоматически доверяет пользователям и устройствам. Узнайте о безопасности с нулевым доверием — современном подходе к кибербезопасности, основанном на прямо противоположной стратегии обеспечения безопасности сети.

Как хакеры используют UPnP?

Хакеры по-разному используют чрезмерное доверие к протоколам UPnP. Большинство эксплойтов требуют, чтобы хакер сначала каким-либо образом взломал сеть (например, с помощью грубой силы или фишинговой электронной почты), чтобы установить вредоносное ПО в систему. После внедрения вредоносного ПО атака может выглядеть следующим образом:

  • Вредоносная программа притворяется сетевым устройством (например, Xbox или Smart TV).
  • Программа отправляет запрос UPnP на ваш маршрутизатор.
  • Маршрутизатор открывает порт и позволяет вирусу или червю установиться в целевой сети (даже если брандмауэр в обычных условиях остановил бы такой трафик).
  • Хакеры проникают в вашу сеть и могут установить любую программу или запустить любой скрипт по своему выбору.

Бэкдоры из уязвимостей UPnP могут оставаться незамеченными в течение нескольких месяцев, поэтому у преступников достаточно времени для достижения своих целей. Наиболее распространенные цели:

  • Распространять вредоносное ПО на другие устройства.
  • Похитить конфиденциальные данные и вызвать утечку данных.
  • Зашифровать хранящиеся данные и начать атаку программ-вымогателей.
  • Получить удаленный доступ к другим сетевым устройствам (чаще всего для управления или захвата устройства IoT).
  • Используйте маршрутизатор в качестве прикрытия или прокси-сервера для других действий киберпреступников (обычно для превращения устройств в ботов для атаки распределенного отказа в обслуживании (DDoS)).
  • Изменить учетные данные администратора.
  • Измените настройки PPP, IP или Wi-Fi.
  • Отслеживать сетевую активность и передавать информацию хакеру.
  • Измените настройки DNS-сервера (обычно для загрузки поддельного веб-сайта, похищающего учетные данные, вместо законного веб-сайта).
  • Имитировать устройства с высокими привилегиями для горизонтального перемещения и доступа к другим сегментам сети.

Эти риски характерны не только для UPnP. Предложения PhoenixNAP по предотвращению программ-вымогателей, сквозному шифрованию и защите от атак DDoS помогут вам быть на шаг впереди киберпреступников.

Стоит ли отключать UPnP?

Если безопасность является вашим приоритетом, нет никакой реальной причины оставлять UPnP включенным. Слишком сложно провести различие между вредоносными и законными запросами UPnP, поэтому пользователи, заботящиеся о безопасности, обычно отключают протокол в соответствии с передовой практикой кибербезопасности.

Если переадресация портов является важным требованием для вашего варианта использования (например, если у вас есть программа VoIP, одноранговое приложение, игровой сервер и т. д.), гораздо более безопасным вариантом, чем UPnP, будет переадресация каждого порт. Ручная переадресация портов гарантирует, что вы контролируете каждое соединение и не подвергаете риску злоумышленников или программы, использующие скрытую автоматизацию UPnP.

Единственный сценарий, в котором использование UPnP является разумным выбором, — это использование простой домашней сети без конфиденциальных данных или систем. Тем не менее, риски все равно будут, и вам нужно будет поддерживать всю поверхность атаки, связанную с UPnP, в актуальном состоянии, в том числе:

  • Маршрутизаторы.
  • Брандмауэры.
  • Антивирусное и вредоносное ПО.
  • Все подключенные устройства Интернета вещей.

Если вы отключите UPnP, помните, что ваша сеть больше не будет автоматически открывать порты в вашей локальной сети.Маршрутизатор будет игнорировать даже легитимные запросы, поэтому правила переадресации портов для каждого подключения нужно будет настраивать вручную.

Еще один более безопасный вариант — использовать нестандартное решение под названием UPnP-UP (Universal Plug and Play — профиль пользователя). В этой версии есть расширение для аутентификации пользователя, которого нет в исходном протоколе. К сожалению, хотя UPnP-UP намного безопаснее стандартной версии протокола, не все устройства поддерживают UPnP-UP.

Не ставьте удобство выше безопасности

Несмотря на то, что UPnP удовлетворяет настоящую потребность, протокол имеет серьезные конструктивные недостатки, которые могут поставить под угрозу каждое устройство в сети. Если UPnP не является необходимым для вашей работы, вам следует отключить протокол. Маршрутизатор будет игнорировать все входящие запросы, и вам придется настраивать новые устройства вручную, но ваша безопасность стоит дополнительных усилий.

Читайте также: