The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Уязвимость в UPnP, подходящая для усиления DDoS-атак и скани..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в UPnP, подходящая для усиления DDoS-атак и скани..."  +/
Сообщение от opennews (ok), 09-Июн-20, 17:09 
Раскрыты сведения об уязвимости (CVE-2020-12695) в протоколе UPnP, позволяющей организовать отправку трафика произвольному получателю, используя предусмотренную в стандарте операцию "SUBSCRIBE". Уязвимости присвоено кодовое имя CallStranger.  Уязвимость может применяться извлечения данных из сетей, защищённых системами предотвращения утечек данных (DLP), организации сканирования портов компьютеров во внутренней сети, а также для усиления DDoS-атак при помощи миллионов подключённых к глобальной сети UPnP-устройств, таких как кабельные модемы, домашние маршрутизаторы,  игровые консоли, IP-камеры, TV-приставки, медиацентры и принтеры...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=53123

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от ilyafedin (ok), 09-Июн-20, 17:09   +2 +/
> В том числе наличие уязвимости подтверждено в открытом пакете hostapd c реадлизцией беспроводной точки доступа (WPS AP)

А iwd?

> Проблема также затрагивает решения на основе открытого UPnP-стека pupnp, информации об исправлениях для которого пока отсутствуют.

А miniupnpd?

Ответить | Правка | Наверх | Cообщить модератору

2. Сообщение от Michael Shigorinemail (ok), 09-Июн-20, 17:24   +17 +/
<-- удобство | безопасность -->
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #13

3. Сообщение от Аноним (4), 09-Июн-20, 17:25   +4 +/
> спецификацию было добавлено предписание по использованию UPnP только на LAN-интерфейсах

Интересно как производители мотивировали своё решение открыть доступ к UPnP снаружи на WAN-интерейсах? зачем?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #6, #8, #10, #21, #51

4. Сообщение от Аноним (4), 09-Июн-20, 17:26   +3 +/
Вообще непонятно в чём удобство UPnP на WAN интерфейсе, зачем он там? Он же очевидно и по спецификации — только для LAN.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #7, #12, #20

5. Сообщение от Нанобот (ok), 09-Июн-20, 17:29   +2 +/
Производители телевизоров и игровых консолей мотивировали своё решение отсутствием wan-портов на своих продуктах
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #31

6. Сообщение от Аноним (6), 09-Июн-20, 17:35   +1 +/
Чтобы сьекономить полмиски риса однако.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

7. Сообщение от arfh (?), 09-Июн-20, 17:40   –3 +/
Для того же, для чего он и для LAN -- открытия портов без настройки роутера. Или на ноутбуке с Wi-Fi гораздо удобнее настраивать порты, чем на ПК? Разницы нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

8. Сообщение от Аноним (8), 09-Июн-20, 17:57   +/
IGD.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

9. Сообщение от Аноним (10), 09-Июн-20, 18:13   +2 +/
>В качестве обходных путей защиты рекомендуется

купить новый роутер.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14, #16

10. Сообщение от Аноним (10), 09-Июн-20, 18:16   +1 +/
Запланированным уст^Wвых^W<censored>, когда люди спохватятся - им придётся купить новые рутеры.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #15

11. Сообщение от Аноним (12), 09-Июн-20, 18:21   +3 +/
Что вы хотите? По одному виду этого стандарта заметно что его проектировали полные вебмакаки.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #29

12. Сообщение от Аноним (12), 09-Июн-20, 18:22   +/
В LAN тоже нормалек, судя по описанию.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

13. Сообщение от Аноним (12), 09-Июн-20, 18:23   +1 +/
>  <-- удобство | безопасность -->

Ну вам же не нравится IPv6 - вот и наслаждайтесь счастьем с костылями и подпорками. И сотнями unxepected в них.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #18, #19

14. Сообщение от Аноним (12), 09-Июн-20, 18:24   +2 +/
И новое авто при заполнении пепельницы. Еще не хватало пройти в вебморду и выключить это.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

15. Сообщение от Аноним (12), 09-Июн-20, 18:25   +2 +/
А отключить в морде фичу - слишком просто и дешево? Походу аноним заодно с производителями.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

16. Сообщение от Аноним (16), 09-Июн-20, 18:26   +1 +/
Или проверить свой имеющийся в списке поддержаеиого оборудования на https://openwrt.org/. Прошивку заливать, разумеется, уже с исправленной уязвимостью.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #26, #33

17. Сообщение от mos87 (ok), 09-Июн-20, 18:49   +/
зойчем выставлять упнп в wan?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #25

18. Сообщение от Аноним (18), 09-Июн-20, 20:22   +1 +/
Правильно. IPv6 не подвержен этой уязвимости!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

19. Сообщение от Михрютка (ok), 09-Июн-20, 20:26   –3 +/
да понятно, в ipv6 сразу +2 к безопасности против ipv4, все строго авторизованное, сетевые экраны сами себя строят, и даже злоумышленники идут сдаваться, едва заметив в своей голове противозаконные мысли.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #22

20. Сообщение от Михрютка (ok), 09-Июн-20, 20:31   –1 +/
> Он же очевидно и по спецификации — только для LAN.

сходите почитайте pdf по ссылочке, там пример вынимания из LAN во внешнюю сеть 16 метров данных за http запрос. это вам не туннели поверх icmp или dns строить.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #32

21. Сообщение от Михрютка (ok), 09-Июн-20, 20:32   +/
сдуру.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

22. Сообщение от Аноним (22), 09-Июн-20, 20:42   +4 +/
В ipv6 такие фееричные угребища как upnp просто не требуются. Достаточно одного файрвола, который пустит что надо и не пустит что не надо. А когда начинается вот такое вот - у вас точки контроля раскиданы по 20 разным закоулкам. И в результате оказывается что по факту у вас должен крутиться open proxy чтобы вообще вкостылить ipv4 для работы некоторых программ.

При том мало того что этот open proxy сам по себе совершенно отдельный и может шарахаться везде, так еще это совершенно не очевидно когда вы наруливали какой-нить там файрвол.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #24

23. Сообщение от Gefest (?), 09-Июн-20, 20:44   +/
Они воплотили в жизнь анекдот , ну тот самый "Здравствуйте, я ольбанский вирус, мой создатель не уметь взламывать маршрутизатор ..."
Ответить | Правка | Наверх | Cообщить модератору

24. Сообщение от Михрютка (ok), 09-Июн-20, 20:48   –3 +/
> Достаточно одного
> файрвола, который пустит что надо и не пустит что не надо.
>>  сетевые экраны сами себя строят,

ну да ну да

> При том мало того что этот open proxy сам по себе совершенно
> отдельный и может шарахаться везде, так еще это совершенно не очевидно
> когда вы наруливали какой-нить там файрвол.

иван васильевич, когда вы говорите, такое ощущение, что вы бредите.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #27

25. Сообщение от Аноним (25), 09-Июн-20, 20:55   +1 +/
Да он и в LAN в принципе ничего так дыра - позволяет класть на всякие фаеры и прочие глупости, делая действия не вон той машиной, а вот этим вашим роутером. Очень прикольно и удобно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

26. Сообщение от Аноним (27), 09-Июн-20, 21:53   +2 +/
А что, они уже новые прошивки собрать успели?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

27. Сообщение от Аноним (27), 09-Июн-20, 21:55   +/
Так это не я такое говорю, это стандарт на эту пакость, вот ведь в чем все западло.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

29. Сообщение от Аноним (-), 09-Июн-20, 22:32   +1 +/
Не поверишь. Я как узнал за этот протокол - сразу пошёл смотреть стандарт, и пришёл к такому же мнению. С той поры отключал и не использовал, а за такой подход они называли меня старпёром-параноиком.

Вобщем я стар, я очень - хотя и не супер - стар, временами использую OpenBSD, a ещё кое-какие другие протоколы - не использую из брезгливости. Например я никогда (то есть с конца 90-х, да-да) не использовал в своих сетях шифрование 802.11 - всегда сеть была "скрыта" и незашифрована, а вот траффик в ней - зашифрован более надёжными методами. Насканившему без ключей - подключение не давало ничего. Могу продолжать...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #46

30. Сообщение от Аноним (30), 09-Июн-20, 23:08   +1 +/
- What you gonna do after drinking too much beer?
- UPnP...nP...
Ответить | Правка | Наверх | Cообщить модератору

31. Сообщение от Аноним (32), 09-Июн-20, 23:13   +/
И соответственно они не доступны из интернета, речь то не про них.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #49

32. Сообщение от Аноним (32), 09-Июн-20, 23:26   +/
Почитал, там речь идёт об отправке данных _изнутри_ LAN, через легитимное устройство с UPnP. Да, для массовых устройств такое поведение по умолчанию — не ок. Но простите, если атакующий _уже_ внутри LAN, то у вас явно проблемы не с UPnP.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #45

33. Сообщение от КО (?), 10-Июн-20, 06:19   +/
Ха-ха-ха, откуда бы там взяться моему древнему гомну?
Они ж любители теперь поддержку прекращать
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #36

34. Сообщение от Аноним (34), 10-Июн-20, 06:20   +/
miniupnpd дырявый тоже?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #53

35. Сообщение от Аноним (35), 10-Июн-20, 09:49   +/
Что-то я не понял. А если запрос пришёл из LAN, то коллбэк надо бы отправить обратно в LAN, а не куда-попало? Но это может быть не так однозначно в некоторых конфигурациях. И сразу теряется удобство)) Ну так пусть эти "некоторые конфигурации" уже настраивают отдельные "некоторые специалисты".
Ответить | Правка | Наверх | Cообщить модератору

36. Сообщение от Аноним (36), 10-Июн-20, 10:54   +/
Старые устройства поддерживаются и обновляются. Прекратили поддержку устройств 4/32 flash/ram
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #55

37. Сообщение от Корец (?), 10-Июн-20, 11:06   +/
Я один отключаю UPnP на роутерах?
Ответить | Правка | Наверх | Cообщить модератору

38. Сообщение от Аноним (38), 10-Июн-20, 11:49   +/
Очевидно что проблема - устройства с прошивками закрытыми исходными кодами. Приставки - это вообще помойка! Если устройство снимается с поддержки то исходный код обязательно должен быть открыт! Вообще это касается всего что производится как проприетарный продкут: документации на автомобили, принципиальные схемы на железо, исходный код к прошикам.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #39

39. Сообщение от Корец (?), 10-Июн-20, 11:56   +/
Они удавятся за копейку. Они лучше отправят всё в /dev/null, чем отдадут на халяву.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #40

40. Сообщение от Аноним (38), 10-Июн-20, 12:17   +/
Вы не непоняли меня. Причем тут халява? Закрытый исходный код - это преступление приводящее к катострофическим последствиям. Вот результат - описано в статье. Перестать воровать и обманывать, перестать быть бандитом не означает "отдать на халяву". Это говорит о том что изначально было престулпнеием закрытие исходного кода. Еще раз "халява" тут не причем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #41

41. Сообщение от Корец (?), 10-Июн-20, 13:12   +/
>Причем тут халява?

Я полагаю, что изначально код делается закрытым чтоб никто другой не мог украсть разработку. Поэтому я и выразился именно так.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #42

42. Сообщение от Аноним (38), 10-Июн-20, 14:35   +/
Нельзя украсть то, что свободно. Чтобы это украсть нужно сначала это закрыть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

43. Сообщение от microsoft (?), 10-Июн-20, 15:39   +/
угу, not a bug
Ответить | Правка | Наверх | Cообщить модератору

44. Сообщение от Ivan_83 (ok), 10-Июн-20, 17:51   +1 +/
Действительно стандарт писали вебмакаки.
Чтобы гарантировать что это будет работать только в локалке достаточно выставить TTL=1 для TCP и UDP сокетов задействованных в работе UPnP и не надо ни фаерволов ни каких то ещё настроек. Даже риск что сосед с wan порта увидит будет минимальным.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #47

45. Сообщение от Аноним (-), 10-Июн-20, 19:19   +/
Однако если в LAN прямые коммуникации между клиентами не были частью плана, эта штука может сие успешно "починить" - с роутером то вы коммуницировать по любому будете...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

46. Сообщение от Аноним (-), 10-Июн-20, 19:26   +/
Есть нюансик, в такой конфиге хаксор может спихивать вас с точки доступа как пожелает, оставив без вафли малой кровью. Впрочем WPA3 все-равно мало кто умеет чтобы management frames защищать.

Кстати, ничего не мешает и шифровать вафлю + потом свое шифрование. Но идея неплохая.

> Могу продолжать...

(вы бы охренели увидев мои конфиги, и нифига бы не поняли)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

47. Сообщение от Аноним (47), 10-Июн-20, 19:29   +/
Судя по дизайну протокола, вебмакаки делавшие это таких слов вообще не знают. Алсо, возможность одного клиента LAN фигачить другого не от своего лица, а от лица роутера - тоже очень так себе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #48

48. Сообщение от Ivan_83 (ok), 10-Июн-20, 20:47   +/
Оно для дома сделано - не критично совсем.
Все проблемы UPnP сводятся к тому что кто то извне получает доступ и злоупотребляет, а TTL=1 это решает на корню.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #50

49. Сообщение от Аноним (-), 11-Июн-20, 16:49   +2 +/
> И соответственно они не доступны из интернета

...пока юзер прововское кабло в их порт не воткнул.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

50. Сообщение от Аноним (-), 11-Июн-20, 16:50   –1 +/
> Думаю, тут важно _основание_ для этого самого уважения

Очегь узкое мышление - сэр никогда не слышал про SOHO.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #52

51. Сообщение от Аноним (-), 11-Июн-20, 16:50   +/
> Интересно как производители мотивировали своё решение

Укуренностью китайцев делавших прошивку.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

52. Сообщение от Ivan_83 (ok), 11-Июн-20, 17:27   +/
Чем по вашему плох вариант с выставлением TTL=1 для всех сокетов обслуживающих UPnP/DLNA сервисы?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

53. Сообщение от AnonPlus (?), 12-Июн-20, 13:02   +1 +/
> Some UPnP stacks like miniupnp (after 2011) are not vulnerable
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

54. Сообщение от Аноним (54), 12-Июн-20, 22:40   +/
На до мной ржали, что я ufw сношу и прописываю васянским скриптом нужные правила. А ненужные не прописываю. И где вы, ржуны сейчас с вашими высшими образованиями?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #56

55. Сообщение от Анонимemail (55), 22-Июн-20, 14:38   +/
Да, прекратили, но можно пересобрать прошивку. Выкинуть лишнее и тяжёлое. Мой роутер стабильно на последней прошивке работает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

56. Сообщение от Аноним (56), 25-Июн-20, 02:56   +/
осилили ufw и делаем в нём то же самое.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру