UPnP有严重漏洞 路由器可能被劫持

US-CERT周一警告，UPnP（通用即插即用）协议有严重漏洞，黑客们可以通过一个恶意的SWF 文件去攻击支持UPnP的网络设备。

如果用户访问一个隐藏有恶意SWF 文件的网站，就可能受到攻击。攻击者可以重新配置或接管受害者的网络设备，如路由器、数码相机、打印机、移动电话和数码娱乐设备。

GNUCitizen.org网站上列出了该攻击的技术实施细节。

Petko D. Petkov是GNUCitizen.org网站的创始人，他将UPnP/Flash漏洞危险等级评定为“高度严重”。在利用该漏洞成功执行攻击后，黑客将接管受攻击的路由器，从而能够绕过防火墙，进入网络路由器管理页面，然后通过路由器去攻击互联网主机，或更改网络设置。

Petkov表示，99％的家庭路由器容易受到这种攻击。UPnP是默认打开状况，而且没有任何形式的认证来防止这种攻击，因此，Petkov与US-CERT都警告说，有UPnP设备的人都应该关掉UPnP协议（具体方法查看路由器使用手册）。

Petkov表示，单纯禁用Adobe的Flash软件可能无济于事，因为可能还有其他的方式也可以利用UPnP的缺陷。