網(wǎng)絡(luò)安全軟件廠商Rapid7在即將于周二發(fā)布的一份白皮書(shū)中表示，目前市場(chǎng)上廣泛使用的網(wǎng)絡(luò)技術(shù)存在很多漏洞，而這些漏洞使數(shù)千萬(wàn)臺(tái)個(gè)人電腦、打印機(jī)和存儲(chǔ)設(shè)備在常規(guī)網(wǎng)絡(luò)環(huán)境中就非常容易受到黑客的攻擊。計(jì)算機(jī)路由器和其他網(wǎng)絡(luò)設(shè)備是導(dǎo)致用戶(hù)個(gè)人設(shè)備極易受到攻擊的根源，因?yàn)樗鼈兌计毡椴捎昧思床寮从茫║niversal Plug and Play, UPnP）技術(shù)。該技術(shù)能夠讓網(wǎng)絡(luò)更加便捷地識(shí)別外部設(shè)備并與之進(jìn)行通訊，這大大節(jié)省了網(wǎng)絡(luò)調(diào)試時(shí)間。

Rapid7在這份白皮書(shū)中指出，該公司研究人員已經(jīng)從即插即用技術(shù)標(biāo)準(zhǔn)中發(fā)現(xiàn)了三種相互獨(dú)立的漏洞，而正是這些漏洞導(dǎo)致全球4,000萬(wàn)到5,000萬(wàn)臺(tái)設(shè)備極易受到攻擊。這些設(shè)備的名單中包括數(shù)家全球知名網(wǎng)絡(luò)設(shè)備生產(chǎn)商的產(chǎn)品，比如Belkin、D-Link以及思科旗下的Linksys和Netgear。

業(yè)內(nèi)廣泛關(guān)注

安全軟件廠商Veracode的首席技術(shù)官克里斯·維索普爾（Chris Wysopal）表示，他認(rèn)為Rapid7公開(kāi)發(fā)布的調(diào)查結(jié)果將引起業(yè)內(nèi)對(duì)即插即用技術(shù)安全性的廣泛關(guān)注，而該技術(shù)仍處于新興發(fā)展階段，同時(shí)還會(huì)促使其他安全研究人員繼續(xù)挖出即插即用技術(shù)存在的更多漏洞。

在提前閱讀過(guò)Rapid7調(diào)查結(jié)果的維索普爾指出：“這一結(jié)果絕對(duì)可以說(shuō)是令人恐慌的。陸續(xù)還會(huì)有這方面的更多研究，今后的研究結(jié)果可能會(huì)引起更大的恐慌。”

Rapid7 曾經(jīng)通過(guò)美國(guó)計(jì)算機(jī)網(wǎng)絡(luò)安全監(jiān)測(cè)機(jī)構(gòu)“計(jì)算機(jī)應(yīng)急反應(yīng)小組協(xié)調(diào)中心”（CERT Coordination Center）向電子設(shè)備廠商通報(bào)過(guò)上述漏洞，該中心由政府出資與卡耐基梅隆大學(xué)軟件工程學(xué)院聯(lián)合建設(shè)，旨在幫助研究人員報(bào)告可能會(huì)影響企業(yè)網(wǎng)絡(luò)安全的潛在漏洞。

Rapid7首席技術(shù)官莫爾（HD Moore）表示：“這是我所見(jiàn)過(guò)的涉及范圍最廣的安全漏洞。”莫爾曾經(jīng)建設(shè)了一個(gè)用途廣泛的平臺(tái)，取名Metasploit，安全專(zhuān)家可以在該平臺(tái)上進(jìn)行模擬網(wǎng)絡(luò)攻擊測(cè)試。莫爾指出，他估計(jì)CERT將在本周二向公眾發(fā)布網(wǎng)絡(luò)漏洞安全預(yù)警。而CERT的一位發(fā)言人拒絕對(duì)此事發(fā)表任何評(píng)論。

據(jù)來(lái)自一家網(wǎng)絡(luò)設(shè)備生產(chǎn)商的消息源確認(rèn)稱(chēng)，該公司已經(jīng)提前被通知，CERT將在本周二發(fā)布相關(guān)報(bào)告。

多數(shù)受試設(shè)備存漏洞

根據(jù)Rapid7的調(diào)查顯示，黑客可以利用這批安全漏洞獲取絕密文件、竊取密碼、獲得個(gè)人電腦的完全控制權(quán)以及針對(duì)網(wǎng)絡(luò)攝像頭、打印機(jī)和安全系統(tǒng)進(jìn)行遠(yuǎn)程遙控。

莫爾指出，在他進(jìn)行過(guò)測(cè)試的設(shè)備中，大多數(shù)都存在各種各樣的漏洞。他還指出，設(shè)備廠商則需要發(fā)布軟件更新才能夠解決這些問(wèn)題，而這在短期內(nèi)似乎很難實(shí)現(xiàn)。

與此同時(shí)，莫爾還建議電腦用戶(hù)迅速運(yùn)行由Rapid7發(fā)布的一款免費(fèi)工具來(lái)查找漏洞，然后在存在漏洞的設(shè)備中關(guān)閉即插即用功能。

莫爾表示，網(wǎng)絡(luò)黑客尚未大規(guī)模利用即插即用漏洞實(shí)施攻擊，但莫爾和Veracode的維索普爾均預(yù)計(jì)，一旦結(jié)果公布以后，黑客們可能會(huì)開(kāi)始發(fā)起大規(guī)模攻擊。為了敦促設(shè)備生產(chǎn)商修補(bǔ)這些漏洞，莫爾表示，他決定公布這些漏洞。

使用帶有即插即用功能設(shè)備的用戶(hù)可能根本意識(shí)不到潛在漏洞帶來(lái)的風(fēng)險(xiǎn)，因?yàn)樾驴盥酚善?、打印機(jī)、媒體服務(wù)器、網(wǎng)絡(luò)攝像頭、存儲(chǔ)設(shè)備以及智能電視和互聯(lián)網(wǎng)電視等設(shè)備在出廠時(shí)就默認(rèn)開(kāi)啟了即插即用功能。

莫爾指出：“遇到這種事情，你不能置之不理。這些產(chǎn)品和設(shè)備似乎數(shù)十年以來(lái)就一直執(zhí)行著相同的核心安全標(biāo)準(zhǔn)。似乎沒(méi)有人真正關(guān)心這些產(chǎn)品。”

維索普爾表示，有些黑客似乎已經(jīng)開(kāi)始利用這些漏洞來(lái)發(fā)起攻擊了，不過(guò)數(shù)量還相當(dāng)小，而且他們每次只選擇一個(gè)攻擊對(duì)象。他指出：“如果黑客要追蹤公司高管和政府官員的話，他們很可能會(huì)通過(guò)后者的家庭網(wǎng)絡(luò)并利用這些漏洞實(shí)施攻擊。”

Rapid7建議，如果企業(yè)和消費(fèi)者懷疑自己的設(shè)備可能容易受到攻擊，那么就關(guān)閉設(shè)備的即插即用功能。Rapid7已經(jīng)在該公司網(wǎng)址上發(fā)布了一款工具，以幫助用戶(hù)查找到存在安全漏洞的設(shè)備和產(chǎn)品。