UPnP có phải là một rủi ro bảo mật không?

UPnP được bật theo mặc định trên nhiều bộ định tuyến mới. Tại một thời điểm, FBI và các chuyên gia bảo mật khác đã khuyến nghị vô hiệu hóa UPnP vì lý do bảo mật. Nhưng UPnP ngày nay an toàn đến mức nào? Chúng ta có đang giao dịch bảo mật để thuận tiện khi sử dụng UPnP không?

UPnP là viết tắt của “Universal Plug and Play”. Sử dụng UPnP, một ứng dụng có thể tự động chuyển tiếp một cổng trên bộ định tuyến của bạn, giúp bạn tiết kiệm được sự phức tạp của các cổng chuyển tiếp theo cách thủ công. Chúng tôi sẽ xem xét các lý do mà mọi người khuyên bạn nên tắt UPnP, vì vậy chúng tôi có thể có được bức tranh rõ ràng về các rủi ro bảo mật.

Tín dụng hình ảnh: hài_nose trên Flickr

Phần mềm độc hại trên mạng của bạn có thể sử dụng UPnP

Vi-rút, ngựa thành Troy, sâu hoặc chương trình độc hại khác có thể lây nhiễm sang máy tính trong mạng cục bộ của bạn có thể sử dụng UPnP, giống như các chương trình hợp pháp có thể. Trong khi bộ định tuyến thường chặn các kết nối đến, ngăn chặn một số truy cập độc hại, UPnP có thể cho phép một chương trình độc hại vượt qua tường lửa hoàn toàn. Ví dụ: một con ngựa thành Troy có thể cài đặt chương trình điều khiển từ xa trên máy tính của bạn và mở một lỗ hổng cho chương trình đó trên tường lửa của bộ định tuyến, cho phép truy cập 24/7 vào máy tính của bạn từ Internet. Nếu UPnP bị vô hiệu hóa, chương trình không thể mở cổng - mặc dù nó có thể vượt qua tường lửa theo các cách khác và điện thoại về nhà.

Đây co phải vân đê? Đúng. Không có gì phải giải quyết vấn đề này - UPnP giả định rằng các chương trình cục bộ là đáng tin cậy và cho phép chúng chuyển tiếp các cổng. Nếu phần mềm độc hại không thể chuyển tiếp các cổng là quan trọng đối với bạn, bạn sẽ muốn tắt UPnP.

FBI đã bảo mọi người tắt UPnP

Gần cuối năm 2001, Trung tâm Bảo vệ Cơ sở Hạ tầng Quốc gia của FBI đã khuyến cáo tất cả người dùng nên tắt UPnP vì lỗi tràn bộ đệm trong Windows XP. Lỗi này đã được sửa bằng một bản vá bảo mật. NIPC thực sự đã đưa ra sửa đổi cho lời khuyên này sau đó, sau khi họ nhận ra rằng vấn đề không nằm ở bản thân UPnP. (Nguồn)

Đây co phải vân đê? Không. Mặc dù một số người có thể nhớ lời khuyên của NIPC và có cái nhìn tiêu cực về UPnP, nhưng lời khuyên này đã sai lầm vào thời điểm đó và vấn đề cụ thể đã được khắc phục bằng một bản vá cho Windows XP hơn mười năm trước.

Tín dụng hình ảnh: Carsten Lorentzen trên Flickr

Cuộc tấn công Flash UPnP

UPnP không yêu cầu bất kỳ loại xác thực nào từ người dùng. Bất kỳ ứng dụng nào đang chạy trên máy tính của bạn đều có thể yêu cầu bộ định tuyến chuyển tiếp một cổng qua UPnP, đó là lý do tại sao phần mềm độc hại ở trên có thể lạm dụng UPnP. Bạn có thể cho rằng mình an toàn miễn là không có phần mềm độc hại nào đang chạy trên bất kỳ thiết bị cục bộ nào - nhưng có thể bạn đã nhầm.

Cuộc tấn công Flash UPnP được phát hiện vào năm 2008. Một ứng dụng Flash được chế tạo đặc biệt, chạy trên một trang web bên trong trình duyệt web của bạn, có thể gửi một yêu cầu UPnP đến bộ định tuyến của bạn và yêu cầu nó chuyển tiếp các cổng. Ví dụ: applet có thể yêu cầu bộ định tuyến chuyển tiếp các cổng 1-65535 tới máy tính của bạn, hiển thị hiệu quả nó với toàn bộ Internet. Tuy nhiên, kẻ tấn công sẽ phải khai thác lỗ hổng trong dịch vụ mạng chạy trên máy tính của bạn sau khi thực hiện việc này - sử dụng tường lửa trên máy tính sẽ giúp bảo vệ bạn.

Thật không may, nó trở nên tồi tệ hơn - trên một số bộ định tuyến, một ứng dụng Flash có thể thay đổi máy chủ DNS chính bằng một yêu cầu UPnP. Chuyển tiếp cổng sẽ là điều bạn lo lắng nhất - một máy chủ DNS độc hại có thể chuyển hướng lưu lượng truy cập đến các trang web khác. Ví dụ: nó có thể trỏ Facebook.com hoàn toàn đến một địa chỉ IP khác - thanh địa chỉ của trình duyệt web của bạn sẽ ghi là Facebook.com, nhưng bạn đang sử dụng một trang web do một tổ chức độc hại thiết lập.

Đây co phải vân đê? Đúng. Tôi không thể tìm thấy bất kỳ dấu hiệu nào cho thấy điều này đã từng được khắc phục. Ngay cả khi nó đã được sửa (điều này sẽ khó, vì đây là vấn đề với chính giao thức UPnP), nhiều bộ định tuyến cũ vẫn đang được sử dụng sẽ dễ bị tấn công.

Triển khai UPnP kém trên bộ định tuyến

Trang web UPnP Hacks chứa danh sách chi tiết các vấn đề bảo mật theo cách các bộ định tuyến khác nhau triển khai UPnP. Đây không nhất thiết là vấn đề với chính UPnP; họ thường gặp vấn đề với việc triển khai UPnP. Ví dụ: nhiều triển khai UPnP của bộ định tuyến không kiểm tra đầu vào đúng cách. Một ứng dụng độc hại có thể yêu cầu bộ định tuyến chuyển hướng lưu lượng mạng đến các địa chỉ IP từ xa trên Internet (thay vì địa chỉ IP cục bộ) và bộ định tuyến sẽ tuân thủ. Trên một số bộ định tuyến dựa trên Linux, có thể khai thác UPnP để chạy các lệnh trên bộ định tuyến. (Nguồn) Trang web liệt kê nhiều vấn đề khác như vậy.

Đây co phải vân đê? Đúng! Hàng triệu bộ định tuyến trong tự nhiên rất dễ bị tấn công. Nhiều nhà sản xuất bộ định tuyến đã không thực hiện tốt công việc đảm bảo triển khai UPnP của họ.

Tín dụng hình ảnh: Ben Mason trên Flickr

Bạn có nên tắt UPnP không?

Khi tôi bắt đầu viết bài đăng này, tôi hy vọng sẽ kết luận rằng các sai sót của UPnP là khá nhỏ, một vấn đề đơn giản là giao dịch một chút bảo mật để thuận tiện. Thật không may, có vẻ như UPnP có rất nhiều vấn đề. Nếu bạn không sử dụng các ứng dụng cần chuyển tiếp cổng, chẳng hạn như ứng dụng ngang hàng, máy chủ trò chơi và nhiều chương trình VoIP, tốt hơn hết bạn nên tắt UPnP hoàn toàn. Người dùng nặng của các ứng dụng này sẽ muốn xem xét liệu họ có sẵn sàng từ bỏ một số bảo mật để thuận tiện hay không. Bạn vẫn có thể chuyển tiếp các cổng mà không cần UPnP; nó chỉ là một công việc nhiều hơn một chút. Kiểm tra hướng dẫn của chúng tôi để chuyển tiếp cổng.

Mặt khác, các lỗi bộ định tuyến này không được sử dụng rộng rãi, do đó, khả năng bạn gặp phải phần mềm độc hại khai thác các lỗi trong quá trình triển khai UPnP của bộ định tuyến là khá thấp. Một số phần mềm độc hại sử dụng UPnP để chuyển tiếp các cổng (ví dụ: sâu Conficker), nhưng tôi chưa tìm thấy ví dụ về một phần mềm độc hại khai thác các lỗi bộ định tuyến này.

Làm cách nào để vô hiệu hóa nó? Nếu bộ định tuyến của bạn hỗ trợ UPnP, bạn sẽ tìm thấy tùy chọn để tắt nó trong giao diện web của bộ định tuyến. Tham khảo hướng dẫn sử dụng bộ định tuyến của bạn để biết thêm thông tin.

Bạn có không đồng ý về bảo mật của UPnP không? Để lại một bình luận!


$config[zx-auto] not found$config[zx-overlay] not found