UPnP即插即用曝安全漏洞 如何有效应对?

近日，美国政府发布了一个安全公告称，目前正在电子设备中使用的通用即插即用（英文：Universal Plug and Play，简称UPnP）功能，存在着很多的安全漏洞。而由于UPnP功能是家庭、办公电子设备中常见的一种网络协议，现正被广泛应用于电脑、路由器、打印机、存储装置等设备上，因此极易受到黑客的攻击。那么面对波及面如此之广的安全隐患，我们该如何应对，才能避免受到侵害呢？

UPnP安全漏洞波及全球设备

日前网络安全测试公司Rapid7表示，他们在近半年的时间内扫描所有可路由的IPv4地址，发现有8100万个UPnP标准发起了响应（UPnP设备本不应该与外网通信的）。现在研究人员已经从UPnP技术标准中找出了三个相互独立的安全漏洞，它们将导致全球4000-5000万台设备处于易被攻击状态。

而黑客可以通过互联网，利用这些安全漏洞入侵家庭或企业网络，进而获取文件、密码、权限，包括对这些设备进行远程操控。

研究人员发现1500多家厂商的6900多种产品型号包含至少一种已知漏洞，2300万系统存在相同的远程代码执行漏洞。目前已有几十个设备制造商收到了美国政府通知，其中包括思科、Netgear公司、索尼、西门子、贝尔金等，但目前尚未收到来自制造商的回复，也没有相关的更新补丁。

Rapid7的CTO莫尔表示，“这是至今发现的范围最广泛的漏洞，虽然目前黑客尚未大规模地利用UPnP漏洞实施攻击，但这显然是潜在的安全隐患，为了敦促设备商们修补这些漏洞，我们才决定公布这些漏洞。”

而据最新的消息，安全公司DefenseCode的研究人员又发现，该漏洞存在于博通芯片的UPnP堆栈中，因此采用博通芯片并支持UPnP协议的设备均有存在该漏洞的可能，波及面广阔。

什么是UPnP协议？

UPnP协议的目标是使家庭网络（数据共享、通信和娱乐）和公司网络中的各种设备能够相互无缝连接，并简化相关网络的实现。UPnP通过定义和发布基于开放、因特网通讯网协议标准的UPnP设备控制协议来实现这一目标。

UPnP这个概念是从即插即用（Plug-and-play），即热拔插技术中派生而来的。UPnP协议简化了家庭网络和企业局域网中各种设备连接，使内网中任意两个设备能互相通信，而不需要特别配置。

如何应对防御UPnP漏洞

对于UPnP安全漏洞来说，因为很多网络设备出厂时都是默认开启这个即插即用功能的，因此我们需要手动关闭UPnP功能。以无线路由器为例，需要进入到它的Web配置界面里进行调整。

首先将设备LAN口与计算机相连，在浏览器中键入其登陆IP地点，通过键入用户名、密码，即可登陆Web配置界面了。一般路由器的UPnP功能可在“高级”选项中找到，用户只需将勾中的选项去除即可。

现在Rapid7公司已经发布了一个针对“移动UPnP SDK”的漏洞补丁，来应对UPnP安全漏洞。但他们也提到，将该补丁应用于更多的受波及设备上，还需要同各个设备制造商进行协商，恐怕耗时久远。

因此，目前我们建议的可行有效之法就禁用路由器、打印机和摄像机的UPnP（通用即插即用）功能，来避免受到黑客的非法入侵了。