US-CERT：UPnP漏洞讓家用路由器有被駭危機

US-CERT在近日發出警告，支援通用隨插即用（UPnP）的漏洞，可能讓家用由器成為駭客攻擊與綁架的目標。

UPnP為一通訊協定，用來讓網路裝置可以互連，而透過應用程式可以管理支援UPnP的各項裝置，例如家用路由器、印表機、數位相機等。部份UPnP應用程式能夠自動開啟路由器的連結埠，或自動設定其他相容裝置的參數。

US-CERT說明，不少業者銷售的裝置中，UPnP的預設值都是開啟的，有些裝置僅能聽命於區域網路或無線介面的UPnP要求。不過，瀏覽器的外掛程式也能在區域系統上執行，因此駭客得以在未被授權的情況下寄送UPnP訊息到區域端的裝置上。

因此，使用者只要連上一個惡意的HTML網頁，駭客就可以掌控使用者端的UPnP裝置，假設其中包含路由器或防火牆服務的裝置，駭客將能更改使用者的防火牆與連接埠的轉寄規則，以及更改DNS設定、改變無線加密金鑰，或另設管理員權限的密碼。

資訊安全顧問組織GNUCitizen.org就在網站上展示如何利用Adobe Flash外掛程式進行攻擊。

知名的資安專家Petko D. Petkov在該站上說明，使用者只要造訪一個含有惡意SWF檔的網站，在幾個步驟內駭客就能掌控使用者的路由器，雖然駭客使用的是Flash ActionScript規格中的navigateToURL功能與URLRequest物件，但這並非Flash的安全漏洞，而比較像是UPnP的設計漏洞，因為它未使用驗證機制。

此一問題可能導致使用者的電腦成為僵屍電腦，或是連結到偽造的釣魚網站。US-CERT及Petko D. Petkov都建議使用者在連上網路時最好暫時關閉裝置上或作業系統上的UPnP功能，雖然這可能會導致該功能或某些應用程式無法使用，但總比被駭來得好。（編譯/陳曉莉）