সম্প্রতি ইউপিএনপি প্রোটোকলে দুর্বলতা সম্পর্কে তথ্য (সিভিই -2020-12695) প্রকাশ করা হয়েছিল, যা আপনাকে স্ট্যান্ডার্ড অপারেশনে সরবরাহিত "সাবস্ক্রাইব" ব্যবহার করে একটি স্বেচ্ছাচারী প্রাপকের কাছে শিপিং ট্র্যাফিকের ব্যবস্থা করতে দেয়।
ক্ষতিগ্রস্থতা এটি কলস্ট্রেঞ্জার এর কোডেনড এবং এই দুর্বলতা সুরক্ষিত নেটওয়ার্কগুলি থেকে ডেটা আহরণ করতে ব্যবহার করা যেতে পারে ডেটা লস প্রিভেনশন (ডিএলপি) সিস্টেমগুলি দ্বারা, অভ্যন্তরীণ নেটওয়ার্কে কম্পিউটার পোর্টগুলি স্ক্যান করার ব্যবস্থা করে এবং গ্লোবাল নেটওয়ার্কের সাথে সংযুক্ত কয়েক মিলিয়ন ইউপিএনপি ডিভাইস, যেমন কেবল মডেলস, হোম রাউটারস, গেম কনসোলস, আইপি ক্যামেরা, সেট ব্যবহার করে ডিডিওএস আক্রমণগুলি উন্নত করে টপ বক্স, মাল্টিমিডিয়া কেন্দ্র এবং প্রিন্টার।
দুর্বলতা সম্পর্কে
সমস্যা সাবস্ক্রাইব ফাংশন এই কারণে হয় due স্পেসিফিকেশন সরবরাহ যে কোনও বাহ্যিক আক্রমণকারীকে কলব্যাক শিরোনাম সহ HTTP প্যাকেটগুলি প্রেরণ করার অনুমতি দিন এবং অন্যান্য হোস্টগুলিকে অনুরোধ প্রেরণের জন্য ইউপিএনপি ডিভাইসকে প্রক্সি হিসাবে ব্যবহার করুন।
"SUBSCRIBE" ফাংশনটি UPnP নির্দিষ্টকরণে সংজ্ঞায়িত করা হয় এবং অন্যান্য ডিভাইস এবং পরিষেবাদিগুলির পরিবর্তনগুলি ট্র্যাক করতে ব্যবহৃত হয়। এইচটিটিপি কলব্যাক শিরোলেখ দিয়ে আপনি একটি স্বেচ্ছাসেবী ইউআরএল সংজ্ঞায়িত করতে পারেন যা ডিভাইসটি সংযোগের চেষ্টা করবে।
সিভিই -2020-12695 ইউএনএনপি ব্যবহার করে ডিভাইসে সার্ভার সাইড রিকোয়েস্ট ফোরজি (এসএসআরএফ) এর অনুরূপ একটি দুর্বলতা। SUBSCRIBE UPnP ফাংশনে কলব্যাক শিরোনামের মান নিয়ন্ত্রণ করার ক্ষমতা থাকার কারণে দুর্বলতা বিদ্যমান।
ত্রুটিটি কাজে লাগানোর জন্য, আক্রমণকারীকে একটি বিশেষত রত করা এইচটিটিপি সাবস্ক্রিটেশন অনুরোধ একটি দুর্বল ডিভাইসে প্রেরণ করতে হবে।
17 ই এপ্রিলের আগে প্রকাশিত স্পেসিফিকেশনের উপর ভিত্তি করে প্রায় সমস্ত ইউপিএনপি বাস্তবায়ন প্রভাবিত হয়।
এর অন্তর্ভুক্তি দুর্বলতার বিষয়টি ওপেন প্যাকেজ হোস্টপ্যাডে নিশ্চিত করা হয়েছিল ওয়্যারলেস অ্যাক্সেস পয়েন্ট (ডাব্লুপিএস এপি) প্রয়োগের সাথে।
সমস্যা এছাড়াও pupnp ওপেন UPnP স্ট্যাকের ভিত্তিতে সমাধানগুলিকে প্রভাবিত করে, যার জন্য স্থির তথ্য এখনও উপলভ্য নয়।
প্রোটোকল ইউপিএনপি স্বয়ংক্রিয়ভাবে ডিভাইসগুলি আবিষ্কার করতে একটি প্রক্রিয়া সংজ্ঞায়িত করে এবং স্থানীয় নেটওয়ার্কে তাদের সাথে আলাপচারিতা করুন। তদতিরিক্ত, প্রোটোকলটি মূলত অভ্যন্তরীণ স্থানীয় নেটওয়ার্কগুলিতে ব্যবহারের জন্য ডিজাইন করা হয়েছিল এবং কোনও প্রকারের প্রমাণীকরণ এবং যাচাইকরণ সরবরাহ করে না।
এটি সত্ত্বেও, কয়েক মিলিয়ন ডিভাইস ইউএনএনপি সমর্থনটি বহিরাগত নেটওয়ার্ক ইন্টারফেসগুলিতে অক্ষম করে না এবং বৈশ্বিক নেটওয়ার্ক থেকে অনুরোধের জন্য উপলব্ধ থাকে। অনুরূপ যে কোনও ইউপিএনপি ডিভাইসের মাধ্যমে আক্রমণ চালানো যেতে পারে।
উদাহরণস্বরূপ, এক্সবক্স ওয়ান কনসোলগুলি আক্রমণ করা যেতে পারে নেটওয়ার্ক পোর্ট 2869 এর মাধ্যমে, কারণ তারা আপনাকে সাবস্ক্রাইব কমান্ডের মাধ্যমে বিষয়বস্তু ভাগ করে নেওয়ার মাধ্যমে পরিবর্তনগুলি ট্র্যাক করার অনুমতি দেয়।
La কানেক্টিভিটি ফাউন্ডেশন খুলুন (ওসিএফ) গত বছরের শেষের দিকে সমস্যা সম্পর্কে অবহিত করা হয়েছিল, তবে প্রাথমিকভাবে স্পেসিফিকেশনটিতে এটি একটি দুর্বলতা বিবেচনা করতে অস্বীকার করেছিল।
আরও বিস্তারিত পুনরাবৃত্তি প্রতিবেদনের পরে, সমস্যার অস্তিত্ব স্বীকৃত ছিল এবং স্পেসিফিকেশনটি কেবল ল্যান ইন্টারফেসে ইউপিএনপি ব্যবহারের ক্ষেত্রে নির্দিষ্টকরণে যুক্ত করা হয়েছিল। যেহেতু সমস্যাটি স্ট্যান্ডার্ডের ত্রুটির কারণে ঘটে তাই স্বতন্ত্র ডিভাইসে দুর্বলতাটি ঠিক করতে দীর্ঘ সময় নিতে পারে এবং পুরানো ডিভাইসের জন্য ফার্মওয়্যার আপডেটগুলি নাও দেখাতে পারে।
সমাধান
সমাধান প্যাচ আকারে এখনও উপলব্ধ, কিন্তু এখনও প্রকাশ করা হয়নি ডেবিয়ান, ওপেনডাব্লুআরটি, উবুন্টু, আরএইচইল, সুস, ফেডোরা, আর্কে আপডেট।
কর্মক্ষেত্র হিসাবে, ইউপিএনপি ডিভাইসগুলি পৃথক করে দেওয়ার পরামর্শ দেওয়া হয় একটি ফায়ারওয়াল সহ বাহ্যিক অনুরোধগুলি, বাহ্যিক HTTP সাবস্ক্রাইব অবরোধ করুন এবং আক্রমণ প্রতিরোধের সিস্টেমে বিজ্ঞপ্তি অনুরোধগুলি বা বাহ্যিক নেটওয়ার্ক ইন্টারফেসে UPnP অক্ষম করুন।
নির্মাতাদের সাবস্ক্রাইব ফাংশনটি অক্ষম করার পরামর্শ দেওয়া হচ্ছে ডিফল্ট সেটিংসে এবং কেবলমাত্র অভ্যন্তরীণ নেটওয়ার্ক থেকে গ্রহণযোগ্য অনুরোধগুলি চালু করার সময় সীমাবদ্ধ।
ডিভাইসে দুর্বলতা পরীক্ষা করতে, প্রকাশিত হয়েছে পাইথনে লিখিত এবং এমআইটি লাইসেন্সের আওতায় বিতরণ করা একটি বিশেষ টুলকিট।
পরিশেষে আপনি যদি এটি সম্পর্কে আরও জানতে চান এই দুর্বলতা সম্পর্কে, আপনি নীচের লিঙ্কে বিশদটি পরীক্ষা করতে পারেন।