UPnP là viết tắt của "Universal Plug and Play." Sử dụng UPnP, một ứng dụng có thể tự động chuyển tiếp một cổng trên router của bạn, giúp bạn tiết kiệm rắc rối khi chuyển tiếp các cổng thủ công. Chúng tôi sẽ xem xét lý do mọi người khuyên bạn nên vô hiệu hóa UPnP, vì vậy chúng tôi có thể có được một bức tranh rõ ràng về các nguy cơ bảo mật.
Tín dụng hình ảnh: comedy_nose trên Flickr
Phần mềm độc hại trên mạng của bạn có thể sử dụng UPnP
Vi-rút, Trojan horse, worm hoặc chương trình độc hại khác có thể lây nhiễm vào máy tính trên mạng cục bộ của bạn có thể sử dụng UPnP, giống như các chương trình hợp pháp có thể. Trong khi một bộ định tuyến thường chặn các kết nối đến, ngăn chặn một số truy cập độc hại, UPnP có thể cho phép một chương trình độc hại bỏ qua tường lửa hoàn toàn. Ví dụ, một con ngựa Trojan có thể cài đặt một chương trình điều khiển từ xa trên máy tính của bạn và mở một lỗ hổng cho nó trong tường lửa của bộ định tuyến, cho phép truy cập 24/7 vào máy tính của bạn từ Internet. Nếu UPnP bị tắt, chương trình không thể mở cổng - mặc dù chương trình có thể bỏ qua tường lửa theo các cách khác và gọi điện về nhà.
Đây co phải vân đê? Vâng. Không có xung quanh cái này - UPnP giả định rằng các chương trình cục bộ là đáng tin cậy và cho phép chúng chuyển tiếp các cổng. Nếu phần mềm độc hại không thể chuyển tiếp cổng quan trọng đối với bạn, bạn sẽ muốn vô hiệu hóa UPnP.
FBI nói với mọi người để vô hiệu hóa UPnP
Gần cuối năm 2001, Trung tâm Bảo vệ Hạ tầng Quốc gia của FBI khuyên tất cả người dùng vô hiệu hóa UPnP vì tràn bộ đệm trong Windows XP. Lỗi này đã được sửa chữa bởi một bản vá bảo mật. NIPC thực sự đã đưa ra một sự điều chỉnh cho lời khuyên này sau, sau khi họ nhận ra rằng vấn đề không nằm trong bản thân UPnP. (Nguồn)
Đây co phải vân đê? Không. Mặc dù một số người có thể nhớ lời khuyên của NIPC và có quan điểm tiêu cực về UPnP, lời khuyên này đã bị hiểu lầm vào thời điểm đó và vấn đề cụ thể đã được vá bởi bản vá cho Windows XP hơn mười năm trước.
Tấn công Flash UPnP
UPnP không yêu cầu bất kỳ loại xác thực nào từ người dùng. Bất kỳ ứng dụng nào đang chạy trên máy tính của bạn đều có thể yêu cầu router chuyển tiếp cổng qua UPnP, đó là lý do tại sao phần mềm độc hại ở trên có thể lạm dụng UPnP. Bạn có thể giả sử rằng bạn được bảo mật miễn là không có phần mềm độc hại nào đang chạy trên bất kỳ thiết bị cục bộ nào - nhưng có thể bạn đã sai.
Flash UPnP Attack được phát hiện vào năm 2008. Một applet Flash được thiết kế đặc biệt, chạy trên một trang web bên trong trình duyệt web của bạn, có thể gửi yêu cầu UPnP tới router của bạn và yêu cầu nó chuyển tiếp các cổng. Ví dụ, applet có thể yêu cầu router chuyển tiếp các cổng 1-65535 tới máy tính của bạn, phơi bày hiệu quả nó với toàn bộ Internet. Kẻ tấn công sẽ phải khai thác một lỗ hổng trong một dịch vụ mạng chạy trên máy tính của bạn sau khi thực hiện điều này, mặc dù - bằng cách sử dụng tường lửa trên máy tính của bạn sẽ giúp bảo vệ bạn.
Thật không may, nó trở nên tồi tệ hơn - trên một số router, một applet Flash có thể thay đổi máy chủ DNS chính với một yêu cầu UPnP. Chuyển tiếp cổng sẽ là ít lo lắng nhất của bạn - một máy chủ DNS độc hại có thể chuyển hướng lưu lượng truy cập đến các trang web khác. Ví dụ: nó có thể trỏ Facebook.com ở địa chỉ IP khác hoàn toàn - thanh địa chỉ của trình duyệt web của bạn sẽ nói Facebook.com, nhưng bạn sẽ sử dụng trang web do một tổ chức độc hại thiết lập.
Đây co phải vân đê? Vâng. Tôi không thể tìm thấy bất kỳ loại dấu hiệu nào cho thấy điều này đã từng được sửa. Ngay cả khi nó đã được cố định (điều này sẽ khó khăn, vì đây là một vấn đề với chính giao thức UPnP), nhiều router cũ hơn vẫn được sử dụng sẽ dễ bị tổn thương.
Triển khai UPnP kém trên Bộ định tuyến
Trang web UPnP Hacks chứa danh sách chi tiết về các vấn đề bảo mật theo cách các bộ định tuyến khác nhau triển khai UPnP. Đây không nhất thiết phải là vấn đề với UPnP; chúng thường là vấn đề với việc triển khai UPnP. Ví dụ: triển khai UPnP của nhiều bộ định tuyến không kiểm tra đầu vào đúng cách. Một ứng dụng độc hại có thể yêu cầu bộ định tuyến chuyển hướng mạng đến các địa chỉ IP từ xa trên Internet (thay vì địa chỉ IP cục bộ) và bộ định tuyến sẽ tuân thủ. Trên một số bộ định tuyến dựa trên Linux, có thể khai thác UPnP để chạy các lệnh trên bộ định tuyến. (Nguồn) Trang web liệt kê nhiều vấn đề khác như vậy.
Đây co phải vân đê? Vâng! Hàng triệu bộ định tuyến trong tự nhiên là dễ bị tổn thương. Nhiều nhà sản xuất bộ định tuyến đã không thực hiện tốt công việc đảm bảo triển khai UPnP của họ.
Bạn nên vô hiệu hóa UPnP?
Khi tôi bắt đầu viết bài đăng này, tôi dự kiến sẽ kết luận rằng các lỗi của UPnP là khá nhỏ, một vấn đề đơn giản về giao dịch một chút bảo mật cho một số tiện lợi. Thật không may, nó xuất hiện rằng UPnP có rất nhiều vấn đề. Nếu bạn không sử dụng các ứng dụng cần chuyển tiếp cổng, chẳng hạn như các ứng dụng ngang hàng, máy chủ trò chơi và nhiều chương trình VoIP, bạn có thể nên tắt hoàn toàn UPnP. Người dùng nặng của các ứng dụng này sẽ muốn cân nhắc xem họ có sẵn sàng từ bỏ một số bảo mật để thuận tiện hay không. Bạn vẫn có thể chuyển tiếp các cổng mà không cần UPnP; nó chỉ là một công việc nhiều hơn một chút. Hãy xem hướng dẫn chuyển tiếp cổng của chúng tôi.
Mặt khác, các lỗ hổng của bộ định tuyến này không chủ động được sử dụng trong tự nhiên, do đó, cơ hội thực sự mà bạn sẽ gặp phải phần mềm độc hại khai thác lỗ hổng trong triển khai UPnP của bộ định tuyến của bạn là khá thấp. Một số phần mềm độc hại không sử dụng UPnP để chuyển tiếp cổng (ví dụ như sâu Conficker), nhưng tôi đã không gặp một ví dụ về một phần mềm độc hại đang khai thác các lỗ hổng của bộ định tuyến này.
Làm thế nào để tôi vô hiệu hóa nó? Nếu bộ định tuyến của bạn hỗ trợ UPnP, bạn sẽ thấy một tùy chọn để tắt nó trong giao diện web của nó. Tham khảo hướng dẫn sử dụng bộ định tuyến của bạn để biết thêm thông tin.
Bạn không đồng ý về bảo mật của UPnP? Để lại một bình luận!
