`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

50 млн подключенных устройств открыты для пакетных атак

0 
 

Эксперты безопасности обнаружили новую уязвимость протокола UPnP, которая открывает для пакетных атак более 6,9 тыс моделей устройств от 1,5 тыс производителей. Таким образом, в мире к глобальной сети подключено около 50 млн приборов с «дырой» в системе защиты.

Как отметил HD Moore, создатель Metasploit и ИТ-директор Rapid7, «результаты исследований шокирующие, если не сказать больше. На тестовый запрос UPnP в мире отреагировали более 80 млн уникальных IP». И хотя сейчас вероятность атак с использованием данной уязвимости минимальна из-за сложности их проведения, в будущем могут быть созданы автоматические инструменты вторжений.

Под угрозой все категории пользователей, и персональные, и корпоративные, и сервис-провайдеры, ведь поддержка UPnP встроена в самые разные устройства, от цифровых камер до медиасерверов. А особенности реализации SSDP, HTTP и SOAP могут позволить хакерам не только удаленно контролировать устройства, но и физически выводить из строя отдельные компоненты сетей. Кроме того, выявлено 17 млн UPnP устройств, в которых управляющий интерфейс SOAP отображается через XML, что позволяет обходить брандмауэры.

Оказалось, что 73% проблем встречаются в продуктах, основанных на нескольких SDK: Portable SDK for UPnP Devices, MiniUPnP и двух проприетарных, один из которых создан Broadcom. Исследователи уже обратились в CERT и предоставили этой организации детальный отчет, таким образом все вендоры и разработчики SDK уведомлены о проблемах безопасности UPnP. Со своей стороны, Rapid7 выпустила бесплатный инструмент ScanNow UPnP под Windows, который позволяет обнаружить опасную уязвимость. Пользователи Linux и Mac могут получить аналогичный инструмент непосредственно в Metasploit.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365

0 
 

Напечатать Отправить другу

Читайте также

 

Ukraine

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT