Universal Plug and Play je zranitelné

Pavel Houser , 05. únor 2013 19:13 0 komentářů
Rubriky: Security, Hardware

Kvůli chybné implementaci protokolu Universal Plug and Play (UPnP) je zranitelných asi 50 milionů síťových zařízení (celkem má jít o 6 900 typů zařízení od 1 500 výrobců).

V rámci testu bylo identifikováno asi 80 milionů zařízení používajících tento protokol, což znamená že problémy se týkají více než poloviny sledovaných systémů.

Autorem studie je HD Moore, nyní CTO ve společnosti Rapid7 a autor penetračního nástroje Metasploit. Uvedl, že překontrolovat svůj hardware by měli domácí uživatelé, firmy i poskytovatelé Internetu; Rapid 7 pro tento případ uvolnila i bezplatný kontrolní nástroj. IT manažeři ve firmách by měli hned zablokovat příchozí provoz na UDP portu 1900 a pak prověřit zejména síťové tiskárny, IP kamery, úložné systémy a servery médií.

Podle Moora jsou sice zneužití v tuto chvíli technicky poměrně obtížná, dříve nebo později budou tyto exploity ale automatizovány a stanou se součástí útočných sad. Problém má spočívat hlavně v tom, jak spolu jsou propojeny protokoly UPnP, HTTP a SOAP. Výsledně by útočník mohl nejen něco provádět se samotným zařízením, ale i získat otevřený port ve firewallu k dalším neplechám.

Zdroj: The Register


Komentáře

RSS 

Komentujeme

Telefony vodní i podvodní

Pavel Houser , 16. červen 2017 13:00
Pavel Houser

Jako zajímavou technickou kuriozitu lze uvést, že všech 28 států NATO schválilo protokol Janus, kter...

Více






Kalendář

25. 06.

29. 06.
Cisco Live 2017
22. 07.

27. 07.
Black Hat 2017
27. 07.

30. 07.
Defcon 2017
RSS 

Zprávičky

Toshiba a Western Digital stále ve sporu

ČTK , 23. červen 2017 08:39

Toshiba chce prodat čipovou divizi skupině, za kterou stojí vláda. ...

Více 0 komentářů

CETIN vyplatí PPF za loňský rok dividendu 2,36 miliardy Kč

ČTK , 23. červen 2017 08:00

CETIN loni zvýšil čistý zisk o 16 % na 2,26 miliardy Kč....

Více 0 komentářů

VMware Horizon v cloudu Microsoft Azure

Pavel Houser , 22. červen 2017 11:50

Řešení pro poskytování desktopu jako služby za poslední roky vyzrála....

Více 0 komentářů

Starší zprávičky

Akcelerátor StartupYard získal 26 milionů Kč

Pavel Houser , 22. červen 2017 11:00

Pražský startupový akcelerátor společně s Fundliftem oznámil investici, kterou získal formou neveřej...

Více 0 komentářů

Česká asociace pojišťoven k pojištění kybernetických rizik

Pavel Houser , 22. červen 2017 10:00

Policie ČR v roce 2016 šetřila 5 344 kybernetických zločinů, což je o 321 (resp. 6,4 %) více než v p...

Více 0 komentářů

Soud řešil krádež bitcoinů. Znalec řekl, že obžalovaný je vinen

ČTK , 22. červen 2017 09:00

Tržiště vykradli dva Američané, převedli z něj bitcoiny asi za 100 milionů korun. Jiříkovský následn...

Více 2 komentářů

Národní elektronický nástroj bude povinný od července 2018

ČTK , 22. červen 2017 08:00

Od dubna platí, že všechny organizační složky státu a centrální zadavatelé musí s dodavateli zakázek...

Více 0 komentářů