8 октября 2015

Филе из брандмауэра: новые уязвимости в UPnP подставили всю Cеть

Бизнес

Маршрутизаторы снова превратились в источник киберугроз в связи с тем, что в начале месяца достоянием гласности стала новая партия прорех в безопасности UPnP. UPnP представляет собой набор сетевых протоколов, широко используемых в домашних маршрутизаторах. Он предназначен для автоматического обнаружения устройств в сети и взаимодействия с ними.

Новые уязвимости, как сообщается, допускают возможность атаки, которая длится меньше 20 секунд; опасность грозит любому маршрутизатору с UPnP, говорят исследователи.

Филе из брандмауэра

Новый набор изъянов получил довольно забавное прозвище «Филе из брандмауэра». Вот только угроза несмешная: согласно Threatpost, «он сочетает в себе ряд уязвимостей и слабых мест в протоколах маршрутизации и браузерах, используемые с целью выставить сетевые устройства из-за брандмауэра в открытый интернет».

По сути, для атаки нужен специально созданный веб-сайт, который может вынудить пользователя, запустившего браузер Chrome или Firefox с включенным JavaScript, делать произвольные UPnP-запросы к брандмауэру, открывая любое или даже все устройства за брандмауэром пользователя непосредственно всему интернету. Тем не менее, чтобы «нарыть» какие-либо представляющие интерес данные, хакеру придётся приложить дополнительные усилия, но в случае, если у него или неё достаточно опыта, сделать это можно в два счёта.

Заманить пользователей браузера с поддержкой JavaScript на сайт злоумышленника – тоже сравнительно легко.

Важно отметить, что уязвимость, как сообщается, имеет «логическую основу»: «Она не кроется в конкретном фрагменте кода, а является результатом множества различных атак, объединённых в одно целое и направленных против службы UPnP на домашних маршрутизаторах».

wide

Важное замечание от CERT

В рекомендации CERT главной проблемой называется то, что домашние маршрутизаторы, реализующие протокол UPnP, либо недостаточно рандомизируют UUID в контрольных URL-адресах UPnP, либо не вполне осуществляют иные меры безопасности UPnP.

Протокол UPnP, говорится в записке CERT, «был изначально разработан под модель угроз в частной сети (недоступной для WAN), ограниченной только зарегистрированными пользователями и, следовательно, по умолчанию не использующей аутентификацию».

Большая ошибка. Позднее был разработан стандарт безопасности UPnP, но его поддержка и развёртывание были «крайне ограничены». Причины: «громоздок для пользователей» и «лишён промышленно заложенных передовых функций вроде инфраструктуры открытых ключей».

Читаем дальше: «Плохое принятие стандарта безопасности может в широком смысле открыть злоумышленнику с доступом в частную сеть возможность угадывать контрольные адреса UPnP множества устройств, в настоящее время представленных на рынке. При верном угадывании злоумышленник может использовать UPnP, для того чтобы перенастраивать домашний маршрутизатор, например, открывая порты и задействуя сервисы, которые предоставят преступнику дальнейший доступ ко всей сети».

А так как многие производители используют стандартизованные контрольные URL-имена UPnP, верная догадка весьма вероятна.

В случае успеха атака может открыть порты брандмауэра и передавать административные команды на маршрутизатор.

Не впервые

UPnP не в первый раз становится причиной сильной головной боли. Ещё в 2013 году эксперты проверили общее состояние безопасности UPnP-устройств и обнаружили, что из 80 миллионов устройств, отвечающих на запросы UPnP в сети, до 50 миллионов уязвимы для различных атак.

В принципе, UPnP является прорехой в безопасности сам по себе.

Лечение через ампутацию

В настоящий момент никакого противоядия не существует. Нет абсолютного решения, только обходные пути, включая жёсткие меры. Рассмотрите возможность полного отключения сервисов UPnP, если только в них нет крайней необходимости. Рандомизация UUID и URL-адресов UPnP тоже поможет.

Домашние маршрутизаторы иногда используются малыми компаниями и в домашних офисах, так что рекомендуется обратить внимание как на саму проблему, так и на способы её устранения.

Список подверженных устройств собран здесь; ещё рекомендуем использовать дополнительные средства защиты, такие как Kaspersky Small Office Security для защиты сети от атак.