UPnP thường được kích hoạt mặc định trên nhiều thiết bị định tuyến (router) đời mới hoặc modem băng thông rộng. Tại nhiều thời điểm, các chuyên gia an ninh mạng khuyên nên vô hiệu hóa UPnP để bảo đảm an toàn. Vậy UPnP là gì? và những rủi ro gì nó có thể gây ra?

UPnP là gì?

UPnP là viết tắt của "Universal Plug and Play", là một giao thức mạng giúp các thiết bị (máy tính để bàn, máy tính xách tay, TV, router, máy tính bảng, máy in...) có khả năng giao tiếp và chia sẻ dữ liệu cho nhau, bất kể thiết bị đó thuộc chủng loại nào hoặc chạy hệ điều hành gì.

Phần mềm độc hại có thể sử dụng UPnP

Một loại virus, trojan, sâu, hoặc chương trình độc hại trên mạng nội bộ của bạn có thể được UPnP xem là một chương trình hợp pháp. Trong khi thông thường một bộ định tuyến cố gắng chặn hoặc ngăn ngừa các kết nối bất hợp pháp thì UPnP - một chức năng của nó có thể cho các chương trình độc hại vượt qua tường lửa dễ dàng. Ví dụ, một trojan có thể cài đặt một chương trình điều khiển từ xa trên máy tính của bạn và mở một cổng cho nó trong tường lửa router của bạn, cho phép truy cập vào máy tính của bạn thông qua Internet. Nếu UPnP bị khóa, chương trình không thể mở cổng, mặc dù nó có thể vượt qua tường lửa bằng cách khác.

Tấn công Flash UPnP

UPnP không yêu cầu bất kỳ chứng thực nào của người dùng, vì vậy một tập tin hoặc một ứng dụng có thể yêu cầu bộ định tuyến trên máy tính chuyển tiếp một cổng thông qua UPnP. Đó là lý do tại sao các file Flash cũng có thể được lợi dụng để thực hiện việc này.

Các cuộc tấn công từ file Flash thông qua UPnP đã được phát hiện từ năm 2008. Một chương trình Flash được thiết kế đặc biệt để chạy trên một trang web trong trình duyệt web của bạn có thể gởi yêu cầu chuyển tiếp cổng thông qua UPnP. Ví dụ, nó có thể yêu cầu bộ định tuyến để chuyển tiếp cổng 1-65.535 trên máy tính, và sau khi khai thác tiếp một lỗ hổng trong dịch vụ mạng, tin tặc có thể tiếp xúc với toàn bộ phần kết nối Internet trên máy tính của bạn.

Trường hợp như vậy có thể sẽ rất nguy hiểm nếu xảy ra đối với máy chủ DNS (Domain Name System - hệ thống tên miền). Trên một thiết bị định tuyến, một chương trình Flash có thể thay đổi máy chủ DNS bằng một yêu cầu UPnP. Máy chủ DNS có thể chuyển hướng truy cập đến một trang web khác. Ví vụ, bạn vào Facebook, và nhập địa chỉ chính xác là facebook.com trên thanh địa chỉ của trình duyệt, nhưng máy chủ DNS sẽ chuyển bạn đến một trang web khác theo ý đồ của tin tặc.

Triển khai UPnP không tốt

Trên trang web của một tổ chức có tên UPnP Hacks (www.upnp-hacks.org) có liệt kê một danh sách chi tiết các vấn đề an ninh mạng được thực hiện thông qua UPnP. Trong đó có thể thấy, vấn đề không nằm ở bản thân UPnP, nhưng là cách thức triển khai của người dùng. Việc triển khai không đúng, không hợp lý là nguyên nhân tạo cơ hội cho tin tặc tấn công. Ví dụ, kích hoạt quá nhiều UPnP trên các router, nhưng không kiểm tra đầu vào đúng. Điều này dẫn đến một ứng dụng độc hại có thể yêu cầu một router chuyển hướng đến các địa chỉ IP từ xa trên Internet (thay vì địa chỉ IP nội bộ), và tất cả các router trong hệ thống sẽ đồng loạt thực hiện.

Có nên vô hiệu hóa UPnP hay không?

Nếu bạn không sử dụng các ứng dụng có yêu cầu cổng chuyển tiếp, chẳng hạn như các ứng dụng chia sẻ mạng ngang hàng (peer-to-peer), các máy chủ điều phối trò chơi, các công nghệ giao tiếp bằng giọng nói qua Internet (VoIP)... bạn có thể vô hiệu hóa hoàn toàn UPnP. Nếu bạn không biết thiết bị của bạn có an toàn hay không thì tắt hỗ trợ UPnP là giải pháp tối ưu. Những người có nhu cầu dùng UPnP trong mạng LAN không phải lo lắng gì với thay đổi này. Việc tắt UPnP trên bộ định tuyến hoặc modem chỉ ảnh hưởng đến việc truyền dữ liệu hoặc điều khiển thư viện từ ngoài Internet.

HOÀNG THY