Le Cert US émet une alerte de sécurité sur le protocole Plug and Play

01 juin 2018 à 15h36
0
Des chercheurs en sécurité de Rapid7 ont mis le doigt sur des failles de sécurité du protocole Universal Plug and Play (UPnP). Aux Etats-Unis, le Cert a émis un avis de sécurité sur le sujet mais ne recommande pas forcément de le désactiver.

Le protocole Universal Plug and Play est utilisé pour de nombreux appareils mais comporte des vulnérabilités. Le constat est livré par Rapid7, une équipe de spécialistes en sécurité. Dans une étude, ils précisent avoir étudié 80 millions d'adresses IP transitant via ces appareils. Parmi ces dernières, entre 40 et 50 millions étaient vulnérables à « au moins un scénario d'attaque ».

Rapid7 indique également être parvenu à dresser une liste de 6 900 appareils vulnérables via ce protocole. Aux Etats-Unis, le Cert a réagi en émettant un bulletin d'alerte. Il confirme ainsi que ces failles peuvent permettre de mener des attaques à distance afin d'exécuter du code arbitraire sur l'appareil visé ou même de provoquer un déni de service.

Il ajoute que le SDK Open Source (libupnp) a pu être utilisé par de nombreux constructeurs, le nombre de cibles potentielles pourrait donc être important. C'est pourquoi il leur recommande de proposer un passage à une version mise à jour de cet outil.

L'organisme dresse une liste pour l'instant non-exhaustive des produits visés mais tient à préciser qu'elle ne recommande pas nécessairement la désactivation du protocole. Il conseille en revanche de veiller à ce que le pare-feu n'autorise pas d'accès via certains ports.

0190000005687380-photo-sans-titre-1.jpg
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

iPhone 6 : un prototype (?) en vente sur eBay pour 7 000 dollars
Le créateur du Bitcoin n’est finalement pas celui que l’on croyait
On Refait le Mac : premières impressions sur l'iPhone 6
Infos US de la nuit : incertitudes sur la date de lancement de l'iPhone 6
Black Friday : elle achète un iPhone 6 et se retrouve avec des patates
Alimentation de 850 W pour le multi-GPU chez Corsair
De Facebook... à Sexebook, réseau social coquin ?
Netflix perdra Starz fin février 2012
Test Internet Explorer 8 : le dernier IE avant la refonte
Test Internet Explorer 9 : un navigateur en net progrès
Haut de page