Le Cert US émet une alerte de sécurité sur le protocole Plug and Play

30 janvier 2013 à 15h28
0
Des chercheurs en sécurité de Rapid7 ont mis le doigt sur des failles de sécurité du protocole Universal Plug and Play (UPnP). Aux Etats-Unis, le Cert a émis un avis de sécurité sur le sujet mais ne recommande pas forcément de le désactiver.

Le protocole Universal Plug and Play est utilisé pour de nombreux appareils mais comporte des vulnérabilités. Le constat est livré par Rapid7, une équipe de spécialistes en sécurité. Dans une étude, ils précisent avoir étudié 80 millions d'adresses IP transitant via ces appareils. Parmi ces dernières, entre 40 et 50 millions étaient vulnérables à « au moins un scénario d'attaque ».

Rapid7 indique également être parvenu à dresser une liste de 6 900 appareils vulnérables via ce protocole. Aux Etats-Unis, le Cert a réagi en émettant un bulletin d'alerte. Il confirme ainsi que ces failles peuvent permettre de mener des attaques à distance afin d'exécuter du code arbitraire sur l'appareil visé ou même de provoquer un déni de service.

Il ajoute que le SDK Open Source (libupnp) a pu être utilisé par de nombreux constructeurs, le nombre de cibles potentielles pourrait donc être important. C'est pourquoi il leur recommande de proposer un passage à une version mise à jour de cet outil.

L'organisme dresse une liste pour l'instant non-exhaustive des produits visés mais tient à préciser qu'elle ne recommande pas nécessairement la désactivation du protocole. Il conseille en revanche de veiller à ce que le pare-feu n'autorise pas d'accès via certains ports.

0190000005687380-photo-sans-titre-1.jpg
Modifié le 01/06/2018 à 15h36
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

Acer plancherait deux nouvelles tablettes quad core de 8 et 10 pouces
Résultats : Amazon, salué pour sa stratégie de diversification
Insolite : une entreprise voit son action chuter de 25% suite à un tweet mensonger
E-marketing : la France étonne sur les enchères en temps réel
RIM lance BlackBerry 10, les smartphones Z10 et Q10 et change de nom !
Présentation vidéo du HTC Desire X
Mega aurait déjà traité 150 demandes de suppressions de fichiers piratés
Nikon annonce un zoom grand angle pour D600 et un téléobjectif à 16500 euros
Apple dépose un copyright pour le design de ses Apple Store
Microsoft ne perçoit pas Dropbox comme une menace
Haut de page