Деактивация UPnP и защита локальной сети: опасности и решения

Результаты исследования, проведенного экспертами компании Rapid7, специализирующейся на информационной безопасности, выявили широко распространенную проблему, которая затронет миллионы пользователей по всему миру. Согласно данным известного эксперта по безопасности Х.Д. Мура, в ходе расследований, проведенных командой Rapid7, примерно 81 миллион уникальных IP-адресов, подключенных к Интернету, могли указать на наличие исследуемых уязвимостей.

В центре исследования, проведенного Х.Д. Муром и его сотрудниками, находится UPnP (Universal Plug and Play), протокол, облегчающий обмен данными между устройствами и компьютерами, включенный по умолчанию в миллионах систем, включая маршрутизаторы, принтеры, медиасерверы, IP-камеры, смарт-телевизоры, сетевые серверы хранения и так далее. Поддержка UPnP также включена по умолчанию в системах Windows, Mac OS X и многих дистрибутивах Linux.

HD Moore объясняет, что UPnP страдает от большого количества довольно «базовых» проблем с безопасностью, которые выявлялись в течение двенадцати лет. Также есть несколько производителей устройств, которые реализуют механизмы аутентификации на UPnP. Таким образом, часто бывает так, что доступ к персональным данным становится возможным из ненадежной компьютерной сети.

В документе Rapid7, загружаемом нажмите здесь, поясняется, что во время тестов, проведенных в последние недели, 81 миллион уникальных IP-адресов ответили на стандартные запросы UPnP, сформулированные удаленно.

Получив ответ, злоумышленник может легко осуществить атаку, направленную на удаленное выполнение вредоносного кода. Результат? Один и тот же злоумышленник может украсть пароли и конфиденциальные данные, внедрить вредоносное ПО или полностью завладеть уязвимыми системами.

HD Moore предсказывает массовую резню, если различные субъекты, от отдельного пользователя до интернет-провайдера, не предпримут каких-то принципиальных действий.

Для интернет-провайдеров в документе Rapid7 рекомендуется убедиться, что протокол UPnP не отображается на интерфейсе WAN. Эта проверка должна проводиться на любом модеме или маршрутизаторе, предоставляемом интернет-провайдером всем своим клиентам.

Точно так же каждый бизнес должен убедиться, что ни одно из сетевых устройств, подключенных к Интернету, не подвергается воздействию UPnP. Даже домашние пользователи и владельцы мобильных устройств должны убедиться, что их модемы-роутеры или, во всяком случае, устройства, используемые для подключения к Сети, не используют UPnP. По данным Rapid7, 6900 аппаратных продуктов уязвимы для атак UpnP.

Поддержка протокола UPnP ожидается во многих маршрутизаторах с 2002-2003 гг. Более того, сегодня многие другие аппаратные устройства (телевизоры, DVD-плееры, игровые приставки, IP-камеры, принтеры, факсы…) по умолчанию используют тот же протокол, который не требует какой-либо аутентификации. Отсутствие механизма аутентификации было разработано, чтобы обеспечить немедленный и упрощенный диалог между различными устройствами UPnP, подключенными к одной и той же локальной сети.

Серьезной ошибкой является то, что UPnP не предназначен для взаимодействия с удаленными устройствами, подключенными к Интернету, а только для облегчения обмена данными между различными устройствами, подключенными к локальной сети. Распространяя использование UPnP на Интернет, он обеспечивает защиту от атак злоумышленников (предоставляет прямой доступ к локальной сети).

«Ошибка лежит на производителях маршрутизаторов, — говорит Стив Гибсон. «Теперь, когда омлет готов, единственное, что производители могут и должны сделать, — это выпустить обновление прошивки для своих различных аппаратных продуктов».

Чтобы проверить, отвечал ли ваш маршрутизатор на запросы на подключение по протоколу UPnP, вы можете использовать тест, опубликованный Стивом Гибсоном. на этот адрес.

Все, что вам нужно сделать, это нажать кнопку «Продолжить», а затем «Мгновенный тест воздействия UPnP» GRC:

Вы получите сообщение «Ваше оборудование с IP xxxx сейчас запрашивается». Лучший ответ, который вы можете получить, следующий:

В этом случае маршрутизатор отбрасывает любой запрос на подключение UPnP извне. Тот, что показан на следующем рисунке, представляет собой наихудшую ситуацию: маршрутизатор ответил на запрос подключения UPnP, тем самым открыв путь для атаки.

Затем возникает третья ситуация (служба, настроенная Стивом Гибсоном, выдает сообщение «Оборудование на целевом IP-адресе активно отвергает наши UPnP-зонды». В этом случае маршрутизатор или, в любом случае, аппаратное устройство, подключенное к указанному IP-адресу. адрес отклонил запрос на подключение, подтвердив свое фактическое присутствие. Другими словами, злоумышленник может только установить, что аппаратное устройство подключено к IP-адресу, но не может установить его личность или запустить какую-либо атаку.

Поэтому необходимо проверить, и в этом служба, созданная Стивом Гибсоном, предлагает очень полезный совет, заключается в том, что используемый маршрутизатор позволяет использовать UPnP, возможно, только в локальной сети, но не расширяет его возможное использование на вне его. UDP-порт 1900 не должен быть открыт и доступен из внешних сетей. Если бы GRC отображал сообщение «Оборудование по целевому IP-адресу ответило на наши зонды UPnP», первое, что нужно сделать, это проверить настройку маршрутизатора относительно протокола UPnP, войдя в его панель управления (обычно просто введите http: / /192.168.1.1 или http://192.168.0.1 в адресной строке браузера).

Если галочка, позволяющая отключить внешний протокол UPnP, не работает, желательно сразу поискать обновление прошивки на сайте производителя роутера.

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован.