Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

UPnP

2013.02.06. 21:11 | buherator | 3 komment

Már lehetett olvasni róla, hogy az Internet jelentős része veszélyben van a kint felejtett UPnP portok miatt. A Rapid7 riportja igen kimerítően elemzi a témát, ezért a részletekbe nem mennék bele, inkább egy kis összefoglalót és néhány megjegyzést közölnék.

Dióhéjban az UPnP-ről: A hálózaton szétküldünk SSDP üzeneteket, melyekre az UPnP képes eszközök válaszolnak. A válasz tartalmazza az eszközök HTTP kiszolgálójának és az azon található szolgáltatás leírónak az elérési útját. Az XML leíró alapján a felfedezett HTTP szerveren keresztül SOAP hívásokkal tudunk különböző utasításokat adni az eszköznek.

Először is, az alapvető probléma nem az UPnP protokolljaival van. A kutatás egyrészt egyes protokoll-implementációk sérülékenyeire mutat rá, valamint figyelmeztet, hogy kb. 17 millió UPnP eszköz SOAP interfésze internet-irányból is elérhető - ezek a felületek gyakran nem kérnek hitelesítést, és lehetőséget adnak az eszközök távoli vezérlésére (pl. port forwarding beállítása). Utóbbi problémáról már jó ideje tudunk, de ilyen jellegű méréshez még nem volt szerencsénk. Az implementációs problémákkal kapcsolatban rendkívül érdekes megállapítás, hogy a neten hallgató eszközök háromnegyede mindössze négy gyártó implementációját használja!

Ebből a Rapid7 két UPnP stackre, az Intel libupnp-jére és a MiniUPnP-re fordított külön figyelmet. A libupnp SSDP parsere összesen nyolc stack túlcsordulásos problémát javít: Ezek korlátozott byte-készlettel használhatók ki, a rendelkezésre álló hely viszont elég nagy, és egy bónusz NULL-t tetszőleges helyre beszúrhat a támadó egy string termináló utasítás kihasználásával - igazi csemege az ARM hackereknek ;) A hiba kihasználásával a támadó egyetlen UDP csomaggal átveheti az irányítást a készülék felett. 

A MiniUPnP esetében a gyártó már ugyan korábban kiadott frissítéseket, melyekben csendben javította a Rapid7 által közzétett problémákat - ez azonban sovány vigasz, a könyvtárat használó eszközök nagyobbik része ugyanis sérülékeny verzióval fut. Itt DoS problémákról illetve egy távolról, a SOAP interfészen keresztül kihasználható egyszerű stack túlcsordulásról van szó. 

A maradék két gyártóval a Rapid7 nem foglalkozott, két értékes célpont tehát még maradt az erdőben. Nem sokkal a tárgyalt tanulmány megjelenése után azonban a DefenseCode is kiszivárogtatott némi infót egy Linksys routerben felfedezett sérülékenységről. Mint kiderült, a probléma éppen az egyik, Rapid7 által nem azonosított gyártót - most már tudjuk, hogy a Broadcom-ot - érinti, akinek az UPnP megvalósítása több mint 100 (nem csak Broadcom) termékben, 15.8 millió neten figyelő eszközben van jelen. Ez a format string sérülékenység az egyik SOAP metódust érinti.

Egy gyártó (és egy Magyarországnyi eszköz) tehát még maradt, de nem lepődnék meg, ha hamarosan erről az implementációról is lehullana a lepel és kiesne pár bug.

Zárjátok be az UPnP-t!

Címkék: intel broadcom upnp rapid7 defensecode miniupnp libupnp

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

brutueforce 2013.02.08. 16:59:31

Arányait tekintve hány százalék soho routerrel találkoztatok aminél az upnp wan fele nyitva van? Mert én 0.

boldii10 2013.02.08. 20:09:42

Egy fantasztikusan összetett nyilatkozatot tőlem is idéz az ügyben a New Scientist
www.newscientist.com/article/mg21729036.500-webcam-and-cctv-security-flaw-shows-us-to-prying-eyes.html
:)