網絡安全軟件廠商Rapid7在即將于周二發布的一份白皮書中表示，目前市場上廣泛使用的網絡技術存在很多漏洞，而這些漏洞使數千萬臺個人電腦、打印機和存儲設備在常規網絡環境中就非常容易受到黑客的攻擊。計算機路由器和其他網絡設備是導致用戶個人設備極易受到攻擊的根源，因為它們都普遍采用了即插即用（Universal Plug and Play, UPnP）技術。該技術能夠讓網絡更加便捷地識別外部設備并與之進行通訊，這大大節省了網絡調試時間。

Rapid7在這份白皮書中指出，該公司研究人員已經從即插即用技術標準中發現了三種相互獨立的漏洞，而正是這些漏洞導致全球4,000萬到5,000萬臺設備極易受到攻擊。這些設備的名單中包括數家全球知名網絡設備生產商的產品，比如Belkin、D-Link以及思科旗下的Linksys和Netgear。

業內廣泛關注

安全軟件廠商Veracode的首席技術官克里斯·維索普爾（Chris Wysopal）表示，他認為Rapid7公開發布的調查結果將引起業內對即插即用技術安全性的廣泛關注，而該技術仍處于新興發展階段，同時還會促使其他安全研究人員繼續挖出即插即用技術存在的更多漏洞。

在提前閱讀過Rapid7調查結果的維索普爾指出：“這一結果絕對可以說是令人恐慌的。陸續還會有這方面的更多研究，今后的研究結果可能會引起更大的恐慌。”

Rapid7 曾經通過美國計算機網絡安全監測機構“計算機應急反應小組協調中心”（CERT Coordination Center）向電子設備廠商通報過上述漏洞，該中心由政府出資與卡耐基梅隆大學軟件工程學院聯合建設，旨在幫助研究人員報告可能會影響企業網絡安全的潛在漏洞。

Rapid7首席技術官莫爾（HD Moore）表示：“這是我所見過的涉及范圍最廣的安全漏洞。”莫爾曾經建設了一個用途廣泛的平臺，取名Metasploit，安全專家可以在該平臺上進行模擬網絡攻擊測試。莫爾指出，他估計CERT將在本周二向公眾發布網絡漏洞安全預警。而CERT的一位發言人拒絕對此事發表任何評論。

據來自一家網絡設備生產商的消息源確認稱，該公司已經提前被通知，CERT將在本周二發布相關報告。

多數受試設備存漏洞

根據Rapid7的調查顯示，黑客可以利用這批安全漏洞獲取絕密文件、竊取密碼、獲得個人電腦的完全控制權以及針對網絡攝像頭、打印機和安全系統進行遠程遙控。

莫爾指出，在他進行過測試的設備中，大多數都存在各種各樣的漏洞。他還指出，設備廠商則需要發布軟件更新才能夠解決這些問題，而這在短期內似乎很難實現。

與此同時，莫爾還建議電腦用戶迅速運行由Rapid7發布的一款免費工具來查找漏洞，然后在存在漏洞的設備中關閉即插即用功能。

莫爾表示，網絡黑客尚未大規模利用即插即用漏洞實施攻擊，但莫爾和Veracode的維索普爾均預計，一旦結果公布以后，黑客們可能會開始發起大規模攻擊。為了敦促設備生產商修補這些漏洞，莫爾表示，他決定公布這些漏洞。

使用帶有即插即用功能設備的用戶可能根本意識不到潛在漏洞帶來的風險，因為新款路由器、打印機、媒體服務器、網絡攝像頭、存儲設備以及智能電視和互聯網電視等設備在出廠時就默認開啟了即插即用功能。

莫爾指出：“遇到這種事情，你不能置之不理。這些產品和設備似乎數十年以來就一直執行著相同的核心安全標準。似乎沒有人真正關心這些產品。”

維索普爾表示，有些黑客似乎已經開始利用這些漏洞來發起攻擊了，不過數量還相當小，而且他們每次只選擇一個攻擊對象。他指出：“如果黑客要追蹤公司高管和政府官員的話，他們很可能會通過后者的家庭網絡并利用這些漏洞實施攻擊。”

Rapid7建議，如果企業和消費者懷疑自己的設備可能容易受到攻擊，那么就關閉設備的即插即用功能。Rapid7已經在該公司網址上發布了一款工具，以幫助用戶查找到存在安全漏洞的設備和產品。