พบบั๊กใหม่ในโปรโตคอล UPnP คาดกระทบอุปกรณ์จำนวนมาก

Yunus Çadirci ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยได้เปิดเผยถึงบั๊กบนโปรโตคอล UPnP โดยตั้งชื่อช่องโหว่ว่า ‘CallStranger’ ทั้งนี้คาดว่าน่าจะส่งผลกระทบกับอุปกรณ์ IoT จำนวนมากที่รองรับโปรโตคอลนี้ และสามารถถูกใช้โจมตีได้หลายรูปแบบ



Credit: ShutterStock.com

UPnP เป็นโปรโตคอลเครือข่ายที่ทำให้อุปกรณ์ เช่น เครื่องคอมพิวเตอร์ ปริ๊นเตอร์ เราเตอร์ AP และมือถือ หรืออุปกรณ์อื่นๆ สามารถมองเห็นกันในเครือข่ายเพื่อแลกเปลี่ยนข้อมูล หรือคุยกันได้โดยไม่ต้องพึ่งพาโซลูชันอื่นๆ อย่างไรก็ตามเมื่อปี 2016 โปรโตคอลนี้ได้ถูกเข้ามาดูแลมาตรฐานโดย Open Connectivity Foundation (OCF)

ช่องโหว่ CallStranger หมายเลขอ้างอิง CVE-2020-12695 เกิดขึ้นกับฟังก์ชัน UPnP SUBSCRIBE โดยคนร้ายสามารถส่งค่า Callback Header แบบพิเศษเข้ามมาโจมตีอุปกรณ์ได้ ทั้งนี้ผลลัพธ์ของการโจมตีส่งผลได้หลายแบบเช่น ลัดผ่านโซลูชันด้านกา

Source Link