Опубликована (http://seclists.org/fulldisclosure/2013/Feb/26) детальная информация (PDF (http://www.defensecode.com/public/DefenseCode_Broadcom_Secur... о сути недавно анонсированной критической уязвимости в беспроводных маршрутизаторах Cisco Linksys, которая позволяет локальной сети получить доступ к устройству под пользователем root без проведения аутентификации. Уязвимость вызвана ошибкой в UPnP (http://ru.wikipedia.org/wiki/UPnP)-стеке Broadcom и позволяет через специальный SOAP-запрос эксплуатировать ошибку форматирования строки и осуществить запись в произвольную область памяти и организовать выполнение своего кода с root-правами.После более подробного изучения уязвимости было выявлено, что кроме Linksys проблеме подвержены и другие продукты с UPnP-сетком Broadcom, например, мини-маршрутизаторы и точки доступа Asus, TP-Link, Zyxel, D-Link, Netgear и US Robotics. По предварительной оценке в сети находится около 70 млн беспроводных маршрутизаторов, из которых примерно 15 млн подвержены указанной уязвимости. Кроме того, похожая проблема выявлена и на днях исправлена (http://www.opennet.me/opennews/art.shtml?num=36020) в открытой реализации UPnP - libupnp (http://pupnp.sourceforge.net/). Из реализаций UPnP не подверженных проблеме отмечается только MiniUPnP (http://miniupnp.free.fr/).
Примечательно, что компания Cisco была уведомлена о проблеме несколько месяцев назад, но исправление так и не было выпущено. В настоящее время все доступные версии прошивки Linksys уязвимы, как и большинство прошивок других устройств на базе чипов Broadcom. Проблему усугубляет то, что многие устройства принимают UPnP-запросы
(UDP-порт 1900 и TCP-порт 2869) на WAN-интерфейсе, т.е. в этом случае не исключается проведение атаки злоумышленником из внешней сети.
URL: http://seclists.org/fulldisclosure/2013/Feb/26
Новость: http://www.opennet.me/opennews/art.shtml?num=36057
> (UDP-порт 1900 и TCP-порт 2869) на WAN-интерфейсе, т.е. в этом случае не
> исключается проведение атаки злоумышленником из внешней сети.Да, 445 порт возвращается!
Как лечить - поставить альтернативную прошивку.
> Да, 445 порт возвращается!
> Как лечить - поставить альтернативную прошивку.В которой не менее дырявый libupnp - http://seclists.org/fulldisclosure/2013/Feb/4
Нормальные люди юзают miniupnp, а кого угораздило полновесный либ тягать - ну, запатчатся ща, да и все дела. А вот пока броадком раздуплится, пока слоупочные ОЕМы отпустят свой ручник, пока рак на горе отсвистит - там уже камня на камне не останется.P.S. А вообще вывешивать upnp в WAN - это люто. В upnp по сути нет никакой секурити, кто угодно может запросить произвольный маппинг. Что в случае WAN интерфейса чревато использованием железки в роли плацдарма, от лица которого будут производиться атаки, в интранет и куда там еще.
> В которой не менее дырявый libupnp...Ну дырявый libupnp, только кому он там нужен на альтернативных прошивках этот libupnp? :D Разве что паре извращенцев запускающих на своих роутерах gmediaserver, libupnp-sample и ushare.
# wget http://downloads.openwrt.org/attitude_adjustment/12.09-rc1/a...
# cat Packages | grep "Package\|Depends" | grep -B 1 libupnp | grep Package
Package: gmediaserver
Package: libupnp-sample
Package: libupnp
Package: ushareИз более чем 3000 пакетов доступных для OpenWrt, только три уязвимы. И даже для этих извращенцев реальная угроза только в том если у них не настроен фаервол.
P. S.
Извините, если кого оскорбил из пользователей ushare, но людей использующих ushare при наличии xupnpd и minidlna иначе как извращенцами назвать нельзя.
И тем не менее в репозиторий OpenWrt недавно прилетели обновления для сборки пакетов libupnp, miniupnpd, miniupnpc с пометкой "security update". Бинарные сборки пока не обновлялись. :(Хотя miniupnpd и miniupnpc и не используют libupnp, но видимо имеют схожие проблемы.
А чё все оставляют UPnP вкюченным? После покупки девайса первое,
что надо делать - выключать этот троян от Микрософт.
Школьник, а причем тут microsoft?
http://www.google.com/patents/US7882356И это только видимая сторона айсберга, так как маздай
принимал ведущую роль в формировании и проталкивании
этой технологии как стандарта, ещё в конце 90-х.
Форточники оскорбились. Ради смеха, хоть что-то приличное бы сделали. По теории вероятности, если бессмысленно и тупо что-то делать, и то 50% чего-то полезного получится. А тут все 100% вреда!!!
А какие есть альтернативы для обычных пользователей? Которые хотят адекватно качать и раздавать торренты, например, а лезть в роутер настраивать маппинги портов не может. Не забывайте, эти роутеры часто настраиваются автоматически при установке прогой от вендора с диска, что идет в комплекте с роутером, или же монтажником от провайдера. Обычный пользователь не знает ни про пароль от него, ни про необходимость туда вообще лезть. Ему нужно, чтобы интернет на компе полноценно работал и торрент-клиент не зажигал красную лампочку "включи уже upnp, наконец, раз порты не можешь настроить".Про то, что может потребоваться зафиксировать IP-адреса вместо DHCP-диапазона и другие шаги я лучше умолчу. С upnp, хотя бы, торренты у обычного пользователя качаются как надо и без лишних действий.
Я вам таки больше скажу: зачастую, обычный пользователь при подключении к испу вообще не заморачивается на тему роутеров и втыкает протянутую ему веревочку прямо в голую попу, без презерватива. Потому что ничего про маршрутизатор он естественно не знает.
> Потому что ничего про маршрутизатор он естественно не знает.... до момента покупки телефона или планшета с вайфаем, нотика или еще чего-нибудь. Потом поневоле приходится узнать.
вы так говорите, будто бы православный роутер отличается от православного компа.
и да, похоже, у вас какие-то не совсем здоровые ассоциации по этому поводу возникают. может это связанно с вчерашней двойкой по математике?
> А какие есть альтернативы для обычных пользователей?Не ходить на опеннет! :)
И никогда не рассматривать начинку пирожка, который едят. ))
Рыть землянки, закупать медные провода, мотать супергетеродины и мастерить радиоприемники на частоте кв/св.
> мотать супергетеродины??? WTF?-)
Pavlinux не обычный пользователь. Pavlinux пользователь альтернативно одарённый. Ты уж извини, но мы, обычные пользователи, ходили и будем ходить куда считаем нужным.
Теперь по делу. Плохо то, что пользователи не могут настроить свои домашние роутеры и вынуждены пользоваться для этого кривыми программами, работающими только в одной кривой оси. Что с этим делать? Ничего. Ждать когда школьники начнут ломать такие роутеры, открывать халявный wi-fi и обрезать канал своей жертве. Глядишь люди и перестанут покупать такие устройства.
>[оверквотинг удален]
> раздавать торренты, например, а лезть в роутер настраивать маппинги портов не
> может. Не забывайте, эти роутеры часто настраиваются автоматически при установке прогой
> от вендора с диска, что идет в комплекте с роутером, или
> же монтажником от провайдера. Обычный пользователь не знает ни про пароль
> от него, ни про необходимость туда вообще лезть. Ему нужно, чтобы
> интернет на компе полноценно работал и торрент-клиент не зажигал красную лампочку
> "включи уже upnp, наконец, раз порты не можешь настроить".
> Про то, что может потребоваться зафиксировать IP-адреса вместо DHCP-диапазона и другие
> шаги я лучше умолчу. С upnp, хотя бы, торренты у обычного
> пользователя качаются как надо и без лишних действий.Не такие уж сложные всего 2 идеи - статическая адресация и фильтрация по MAC адресу.
> Не такие уж сложные всего 2 идеи - статическая адресация и фильтрация
> по MAC адресу.А остальное?
Каким боком какой нить доктор должен знать что такое MAC адрес ?
> Каким боком какой нить доктор должен знать что такое MAC адрес ?Почему я знаю, что эффективность противодействия ГРИППу зависит от количества
бета-интерферона, который можно генерить с помощью поглощения хлопкового масла
иль сожрать 20 таблеток (не сразу) кагоцела?!
Охши ... !!!Павлин - вот и тот доктор знает о MAC-адресе на таком же уровне - то есть ничего не знает :)
> Охши ... !!!
> Павлин - вот и тот доктор знает о MAC-адресе на таком же
> уровне - то есть ничего не знает :)Ой, давайте не будем. И врачи есть разные (Кон Коливас, например ;) ) и IT-шники, которые не знают, чем концентратор (hub) от коммутатора (switching hub) отличается.
> Охши ... !!!
> Павлин - вот и тот доктор знает о MAC-адресе на таком же
> уровне - то есть ничего не знает :)Пиздить и я умею, а ты доказательства о моей не компетентности давай. (без гугла плиз)
А чего ещё умеешь? Давай рассказывай, не стесняйся.
> А чего ещё умеешь? Давай рассказывай, не стесняйся.В жопу свисток вставить, и "Полёт шмеля" исполнить!
>А какие есть альтернативы для обычных пользователей?Альтернатива "обычным пользователям" - нетупые пользователи.
Ты наверно спутал с qss (она же wps), реализация которой позволила получить wpa/wpa2 ключ за 11000 подходов :-)
Правильная, я подчеркиваю, правильная реализация nat-pmp или uPNP очень годная технология!
UPNP умирает, уже вовсю пиарят DLNA
DLNA uses UPnP for media management, discovery and control.
> DLNA uses UPnP for media management, discovery and control.IPv6 uses TCP ... и чё?
IPv6 uses TCP???77 o_O
вы где такие вещества достаете?для тех кто в танке: UPnP вовсе не умирает.
> IPv6 uses TCP???77 o_O
> вы где такие вещества достаете?Кончились аргументы? Нечем крыть? Хочется оставить за собой последнее слово?
Доебись до опечатки собеседника, сделать больше ты ничего не сможешь (с)
т.е. по теме ответить нечего? слив засчитан )
Тогда уж Zeroconf/mDns
DLNA не является заменой UPNP.UPnP определяет базовую архитектуру сетевых устройств, протоколы.
А также некоторое количество базовых вариантов устройств,
среди них: Internet Gateway, AudioVideo - Media Server & Media Renderer и прочие.А DLNA это стандарт поверх UPnP AudioVideo архитектуры.
Цель его введения обеспечить в итоге совместимость AV устройств для конечных пользователей. Потому как UPnP AV слишком универсальна, не определеяет даже поддерживаемые форматы данных.Поэтому рассматривать DLNA как приемника UPnP это ограничено и не верно :)
Не вижу причин не использовать ранние наработки для новых методов.
В некоторых примененениях справляется только NAT-PMP, а UPnP - увы, отсасывает, поскольку сделан мультикастом. Например, когда у меня возникла задача занатить общажную сетку не в один внешний адрес, а в их пул, каждым 16 телам свой внешний - в UPnP это невозможно, в NAT-PMP все шлют на адрес дефолта, и он их различает. Сделал свой http://antigreen.org/vadim/freebsd/ng_nat/avtnatpmpd/ для этой задачи, с реализацией, пригодной для включения в упомянутый в посте MiniUPnP, кстати (правда, автору мысль об универсальной реализации не понравилась, он предпочел отдельный костыль для каждого бэкенда).
> А чё все оставляют UPnP вкюченным? После покупки девайса первое,
> что надо делать - выключать этот троян от Микрософт.тебя самого надо было выключить сразу после рождения, чтобы не нес всякую малограмотную чушь. есть же еще недоумки, считающие, что если они чем-то не умеют пользоваться, то и всем остальным не надо!
>> А чё все оставляют UPnP вкюченным? После покупки девайса первое,
>> что надо делать - выключать этот троян от Микрософт.
> тебя самого надо было выключить сразу после рождения, чтобы не нес всякую
> малограмотную чушь. есть же еще недоумки, считающие, что если они чем-то
> не умеют пользоваться, то и всем остальным не надо!Разум человечества, а ты про SNMP слыхал что-нить? Гении тащемта не лучше.
Грамотеи бл.ть
>> А чё все оставляют UPnP вкюченным? После покупки девайса первое,
>> что надо делать - выключать этот троян от Микрософт.
> тебя самого надо было выключить сразу после рождения, чтобы не нес всякую
> малограмотную чушь. есть же еще недоумки, считающие, что если они чем-то
> не умеют пользоваться, то и всем остальным не надо!Пользуйся сыночег, пользуйся, потом не спрашивай, "Папко, а чё я в КВД делаю?"
Возможен ботнет из роутеров! Восстание машин не за горами :)
Было уже. D-Link выпускал роутеры с заводским установками по умолчанию login: admin, password: admin. Причём, смена пароля перед началом эксплуатации никак не требовалась и этим admin можно было заходить через WAN. Ну а виндохомячкам в голову не приходило, что надо как-то убедиться в безопасности заводских настроек.
> Возможен ботнет из роутеров! Восстание машин не за горами :)Тащемта, уже был.
Дайте мне же эту #FORMAT STRING# да поскорее, поскорее !!! Делов то невпроворот, а ведь какие перспективы! Ух! Мечты...
"Примечательно, что компания Cisco была уведомлена о проблеме несколько месяцев назад, но исправление так и не было выпущено."Примечательно, что компания Cisco продала Linksys и о том что продаст его знала за несколько месяцев до уведомления о проблеме с upnp. Но разве ж это кого-то долбёт?
UPnP - бредовая технология. Особенно для корпоративной сети, а для дома тем более. Отключать и запрещать брандмауэром. Сразу.
> UPnP - бредовая технология.Но полезная. Пускай, вам от неё пользы нет.
Глупый вопрос, а причем тут вообще сейчас Cisco? Когда речь идет о Linksys ?
При том, что до января 13го года линксис принадлежал циске, сейчас же принадлежит белкину.
> Проблему усугубляет то, что многие устройства принимают UPnP-запросы (UDP-порт 1900 и TCP-порт 2869) на WAN-интерфейсене верю, это же надо явно разрешать эти порты при дефолтном iptables -P INPUT DROP, но какому идиоту это придет в голову?
> не верю, это же надо явно разрешать эти порты при дефолтном iptables
> -P INPUT DROP, но какому идиоту это придет в голову?Вы про свой localhost? Не волнуйтесь, его никто не взломает.
Речь про домашние аппаратные роутеры - там бывают неадекватные настройки.
> Вы про свой localhost?2 балла тебе по "Телепатии"
> Речь про домашние аппаратные роутеры
весь сохо сегмент вышеназваннных компаний исключительно софтовый, аппаратного там разве что nat в некоторых моделях.
> там бывают неадекватные настройки
о том и речь, что для таких неадекватных настроек необходимо приложить дополнительные усилия, как то: открыть вышеназванные порты для wan интерфейса при полной фильтрации по дефолту.
>> там бывают неадекватные настройки
> о том и речь, что для таких неадекватных настроек необходимо приложить дополнительные
> усилия, как то: открыть вышеназванные порты для wan интерфейса при полной
> фильтрации по дефолту.В новости написано, что неадекватные настройки бывают из коробки.
Как раз дополнительные усилия нужны, чтобы их закрыть.
У меня Нетгир.
Проверка показала, что все норм.
нетгир с броадкомом внутри?
>Примечательно, что компания Cisco была уведомлена о проблеме несколько месяцев назад, но исправление так и не было выпущено.Не для того они его туда запиливали, чтобы по первой просьбе анонимуса выпиливать.
Когда же до нас дойдёт IPv6, чтобы можно было бы отказаться от NAT и всякие кривые костыли вроде upnp не использовать...
Где связь между NAT и UPNP? Или вы тоже верите, что NAT это такая замена файрволу, не будет NAT - не будет файрвола?UPNP нужен, в частности, чтобы открывать порты на удаленном файрволе без неудобных некоторым пользователям ручных манипуляций с веб-админкой роутера; от использования IPv6 необходимость "открыть порт 12345 на такой-то IP для работы входящих соединений в торрент-клиент" не исчезает, файрволл-то и с IPv6 нужен. Так что UPNP будет жить, пока что-нибудь удобнее или надежнее не изобретут, а IPv6 тут вообще не при чем..
> Где связь между NAT и UPNP?Я наверное неправильно выразился. Говорил я только о части UPNP, об IGD.
> Или вы тоже верите, что NAT
> это такая замена файрволу, не будет NAT - не будет файрвола?Я прекрасно понимаю чем отличается фаервол от NAT.
> UPNP нужен, в частности, чтобы открывать порты на удаленном файрволе без неудобных
> некоторым пользователям ручных манипуляций с веб-админкой роутера;upnp, а точнее IGD нужен для автоматической проброски портов, т.е. для преодоления NAT.
Открытие портов в фаерволе - это побочный эффект.> от использования IPv6
> необходимость "открыть порт 12345 на такой-то IP для работы входящих соединений
> в торрент-клиент" не исчезает, файрволл-то и с IPv6 нужен. Так что
> UPNP будет жить, пока что-нибудь удобнее или надежнее не изобретут, а
> IPv6 тут вообще не при чем..Я говорю об отказе от NAT. В этом случае закрыть какие-то порты всем пользователям в сети, а потом разрешить всем пользователям в сети открывать эти порты через IGD видится мне бессмысленным.
Странне, а мне Upnp в i2p ничо так каналы держит.
Микротик рулит, в банке ведем замену разводной на бабки циски
на микротики. Все довольны. Банк крупный- федерального уровня.
UPnP это не только проброс портов, но и очень много всего связанного с мультимедиа.Всё делалось чтобы plug and play был и для всех устройств подключенных к сети.
И это работает.
В венде и андройде всё очень не плохо с этим, они сразу могут показывать и рулить всякими телеками и пр подключёнными к сети.
В этом и был интерес МС и кучи производителей бытовой техники.UPnP не содержит механизмов авторизации, потому что предназначен для дома либо для не критичных сервисов.
Ещё там есть проблемы с совместимостью фишек между разными реализациями, но основной функционал работает.Не вижу причин дома его отключать.
Если паранойя настолько сильна то лучше его использовать для слежки за подозрительными приложениями которые его же и используют.Функционально он состоит из двух блоков:
1. SSDP анонсера, который на мультикаст адрес кидает анонсы о том какой сервис есть и где URL для работы с ним.
2. HTTP + SOAP (xml based) веб сервис который обрабатывает запросы.Моя реализация SSDP демона на сях и остального на nginx + php:
http://www.netlab.linkpc.net/forum/index.php?topic=898.0
Смотрю через это кина с сервера на ящике и андройде и иптв (парсит m3u плей листы).
Должны быть введены огромные санкции компании, выпустившей брак.