В UPnP найдены бреши

Десятки миллионов маршрутизаторов, компьютеров, принтеров, телевизоров и других устройств уязвимы для интернет-атак из-за опасных брешей в реализа­ции стандарта UPnP (Universal Plug and Play), утверждают исследователи из ком­пании Rapid7 в опубликованном ими докладе.

UPnP позволяет сетевым устройствам автоматически обнаруживать друг друга и конфигурироваться для работы в сети. Стандарт рассчитан на внутреннее при­менение в локальных сетях, но в Rapid7 с июня по ноябрь обнаружили 80 млн внешних IP-адресов, отвечающих на UPnP-запросы. По 20% этих адресов досту­пен SOAP-сервис UPnP, что позволяет минуя межсетевые экраны атаковать си­стемы, полагают исследователи.

В популярной библиотеке Portable UPnP SDK, реализующей стандарт, они нашли сразу восемь брешей с возможностью удаленного использования. Уязви­мая библиотека используется устройствами по свыше 23 млн просканированных исследователями IP-адресов. Бреши исправлены в версии 1.6.18 библиотеки, но пройдет еще немало времени, прежде чем все приложения и устройства полу­чат заплаты, полагают в Rapid7.

Всего опознано около 7 тыс. уязвимых продуктов от 1500 производителей, в числе которых Belkin, Cisco, Netgear, D-Link и ASUS. В Rapid7 создали бесплат­ный инструмент, позволяющий проверить свою сеть на уязвимые UPnP-сервисы.