LINUX.ORG.RU

Серьёзная уязвимость в настройке NAT-PMP популярных роутеров

 , ,


2

4

Выяснилось, что реализация протокола NAT-PMP во многих SOHO-роутерах и сетевых устройствах позволяет злоумышленнику менять настройки переадресации портов и осуществлять перехват приватного и публичного трафика (перенаправив его на подконтрольный сервер). Проблема усугубляется тем, что атаку можно произвести без авторизации.

Корень проблемы кроется в простоте протокола NAT-PMP, который не содержит никаких проверок на предмет того, откуда приходят запросы, подразумевая, что они должны приходить лишь из локальной сети. Многие производители сетевого оборудования нарушили соответствующий RFC-стандарт, реализовав возможность приёма запросов переадресации портов с внешних интерфейсов.

По предварительным данным, полученным в результате сканирования Интернета, количество уязвимых устройств (принимающих запросы на 5351 порт) превышает миллион. Из них:

  • 2.5% позволяют перехватить внутренний трафик
  • 86% — перехватить внешний трафик
  • 88% — получить доступ к службам в локальной сети
  • 88% — вызвать отказ в обслуживании
  • 100% — получить информацию об оборудовании, IP-адресах, используемых портах

Уязвимо множество оборудования от ZyXEL, Netgear, ZTE, MikroTik, Ubiquiti, Technicolor, Speedifi, Radinet и Grandstream. До выхода обновлений от производителя рекомендуется отключить NAT-PMP или заблокировать входящий UDP-трафик на 5351 порту.

>>> Подробности

anonymous

Проверено: Shaman007 ()

если роутер длинк-320, прошитый в Олега, вроде бы с запретом внешних входящих, то эта шляпа работать не будет?

Kompilainenn ★★★★★ ()

С apple airport то что? я так и не понял.

anonymous ()

А как там дела с OpenWrt ?

anonymous ()

Всегда и везде первым делом отключал эту хрень, как и UPnP. IMHO, это всё зло бай дезайн.

Axon ★★★★★ ()
Ответ на: комментарий от Quasar

Не нужно - есть upnp.

Которое столь же ненужно.

Axon ★★★★★ ()

Боян. Протухло. Осиливших хотя бы установку OpenWRT на свой роутер это также не волнует

partyzan ★★★ ()
Ответ на: комментарий от partyzan

Openwrt золотыми руками делается? Там тоже самое.

anonymous ()

заблокировать входящий UDP-трафик на 5351 порту

честно говоря не понял о чём новость, но на всякий случай решил заблокировать трафик. по хожу жела вспонил, что весь входящий трафик с WAN заблокирован же файрволом же. у кого-то не так?

anonymous ()

шляпа, пошел закрывать 5351 порть

obana ()

А как же secure mode у miniupnpd, который сейчас и используется в большинстве случаев? Он ограничивает возможность проброса порта только на тот адрес, откуда пришёл пакет. Плюс в нём прописываются подсети, из которых разрешать запросы.

BasicXP ()
Ответ на: комментарий от Desmond_Hume

Читай первый коммент:

если РоутЕр длинк-320, проШитый в олЕга, вроде бы с запреТОм внешних входящих, то эта шляпа работать не будет?

mittorn ★★★★★ ()

Дырявый линукс снова поганит энтерпрайзу малину.

anonymous ()

Этой «уязвимости» же сто лет в обед, разве нет? Как бы для этого в miniupnpd давно есть настройки, и, вроде, все документировано и описано.

ValdikSS ★★★★ ()
Ответ на: комментарий от anonymous

Openwrt золотыми руками делается?

Красными глазами.

Там тоже самое.

4.2

ncrmnt ★★★★★ ()

Решето! Я думаю openwrt надо шить, на некоторые модели роутеров производители забьют с обновлениями.

Deliverance ★★ ()

Тупые уроды! Соблюдайте стандарты, суки!

Indexator ★★★ ()
Ответ на: комментарий от anonymous

Если у тебя весь входящий трафик заблокирован, то ты бы не смог писать даже этот коммент, поскольку ни одна веб-страница у тебя бы не грузилась.

Ты, наверное, имеешь в виду, что заблокировано обращение к веб-морде и доступ по ssh. Это правильно, хотя даже не все это делают, через поисковик можно найти сотни роутеров, у которых веб-морда торчит в инет с дефолтным паролем.

Суть новости в том, что во многих роутерах криво настроен miniupnpd, доступ к которому как раз разрешен отовсюду, а сам он не умеет (и не должен) проверять, откуда пришла команда.

anonymous ()
Ответ на: комментарий от anonymous

Если у тебя весь входящий трафик заблокирован, то ты бы не смог писать даже этот коммент, поскольку ни одна веб-страница у тебя бы не грузилась.

Да вы батенька норкоман. Блочится тот который инициирован извне, а не тот который инициирован изнутри. Идиот.

partyzan ★★★ ()
Ответ на: комментарий от partyzan

Не подскажешь где в Openwrt upnp?

opkg install luci-app-upnp

anonymous ()
Ответ на: комментарий от Axon

Которое столь же ненужно.

Предпочитаешь пробрасывать руками? Это очень интересное занятие, особенно, когда в торрент-клиенте включена опция «использовать случайный порт при запуске»

anonymous ()
Ответ на: комментарий от anonymous

Ты, наверное, имеешь в виду, что заблокировано обращение к веб-морде и доступ по ssh.

нет, анончик. весь входящий трафик заблокирован, а ответ на http-запрос - это часть исходящего трафика.

вот схема в виде input/output/forward:

lan: accept/accept/reject wan: reject/accept/reject vpn: accept/accept/accept

Суть новости в том, что во многих роутерах криво настроен miniupnpd, доступ к которому как раз разрешен отовсюду, а сам он не умеет (и не должен) проверять, откуда пришла команда.

ну ок. мои соболезнования.

anonymous ()
Ответ на: комментарий от anonymous

«использовать случайный порт при запуске»

там ещё диапазон случайных портов укзаывается, нет? открой только этот диапазон

anonymous ()
Ответ на: комментарий от anonymous

opkg install luci-app-upnp

А в дефолтной прошивке наверно это проще делается да? Оно уже установлено и включено за тебя)

partyzan ★★★ ()

только заделал в облаке дырку с shellshock...

p01ymer ()

Главное уязвимо по ходу ВООБЩЕ ВСЁ, например linux-igd тоже уязвим - тоже слушает *:49152. Маразм.

vitalif ★★★★ ()

Уязвимо множество оборудования ... MikroTik

Оно точно там есть? Не видел этот NAT-PMP

KillTheCat ★★★★★ ()

Что за NAT-PMP вообще, где оно обитает? Нашел у себя в маршрутизаторе включенное UPnP, это тоже подвержено опасности, выключать?

Citramonum ★★ ()
Ответ на: комментарий от Citramonum

Нашел у себя в маршрутизаторе включенное UPnP, это тоже подвержено опасности, выключать?

Да, тебя уже хакнули. Неужели так сложно один раз порт пробросить?

KillTheCat ★★★★★ ()
Ответ на: комментарий от partyzan

Осиливших хотя бы установку OpenWRT на свой роутер это также не волнует

Вы так говорите, как будто это поделие криворуких школьников лучше прошивки от производителя. Помню, поставил как-то это на свой маршрутизатор, так он у меня стал перезапускаться, когда я запускал Флеш с Ютубе. Вот это был поворот!

Citramonum ★★ ()
Ответ на: комментарий от KillTheCat

Неужели так сложно один раз порт пробросить?

Да мне его и не надо пробрасывать, у меня все равно нет выделенного IP-адреса. Просто так было по умолчанию, мне не мешало, вроде.

Citramonum ★★ ()
Ответ на: комментарий от anonymous

Предпочитаешь пробрасывать руками? Это очень интересное занятие, особенно, когда в торрент-клиенте включена опция «использовать случайный порт при запуске»

Ну так зачем же быть идиотом и включать такую опцию при возможности указать порт статично?

Axon ★★★★★ ()
Ответ на: комментарий от Axon

Сеть лагает.

видать что-то недоотключил.

anonymous ()
Ответ на: комментарий от Axon

Ну так зачем же быть идиотом и включать такую опцию при возможности указать порт статично?

Действительно, зачем что-то автоматизировать, если столько работы можно делать руками. А если еще часто меняются беспроводные клиенты, так это какое веселье - для каждого настраивать проброс на роутере.

anonymous ()
Ответ на: комментарий от partyzan

В дефолтной прошивке обычно есть одна галка «UPnP», а ты гадай, включает она так же NAT-PMP или нет.

В OpenWRT сделано умнее, там UPnP и NAT-PMP - это 2 разные опции.

anonymous ()
Ответ на: комментарий от anonymous

Действительно, зачем что-то автоматизировать, если столько работы можно делать руками.

Ну да, машины Голдберга - тоже, в некотором роде, автоматизация.

А если еще часто меняются беспроводные клиенты, так это какое веселье - для каждого настраивать проброс на роутере.

Нахрена каждому ноутбуку и телефону проброшенные порты?

Axon ★★★★★ ()

Мне всегда казалось что NAT-PMP сам по себе является уязвимостью. Зачем разрешать кому попало пробрасывать порты внутрь сети?

jekader ★★★★★ ()
Ответ на: комментарий от Axon

Всегда и везде первым делом отключал эту хрень, как и UPnP. IMHO, это всё зло бай дезайн.

+1. Всё как всегда - безопасность = 1/удобство. А протокол UPnP и похожие слишком уж удобны.

Pinkbyte ★★★★★ ()
Ответ на: комментарий от anonymous

Это правильно, хотя даже не все это делают, через поисковик можно найти сотни роутеров, у которых веб-морда торчит в инет с дефолтным паролем.

Толковые провайдеры эти порты у себя блокируют. Если провайдер вася пупкин а клиенты домохозяйки, да ещё и с белыми айпишниками тогда да - наружу торчат.

anonymous ()
Ответ на: комментарий от anonymous

Толковые провайдеры эти порты у себя блокируют.

Толковые - это которые молча блокируют порт 80, предоставляя услугу внешнего IP-адреса?

Citramonum ★★ ()

Вот поэтому дома роутер надо подымать на сервере с FreeBSD.

Le_Raux ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.