Κενά ασφαλείας στο UPnP δικτυακό πρότυπο εκθέτουν σε κίνδυνο εκατομμύρια υπολογιστές

[nnn]

Η δημοσίευση ενός white paper από ερευνητές της εταιρίας ασφαλείας Rapid7, αποκαλύπτει πως το ευρέως
χρησιμοποιούμενο πρότυπο επικοινωνίας μεταξύ δικτυακά συνδεδεμένων συσκευών, το UPnP(Universal Plug and Play) έχει σοβαρό κενό ασφαλείας που μπορεί να επιτρέψει την εισβολή σε πάνω από 40 εκατομμύρια συσκευές παγκοσμίως.

Η μελέτη εστιάζεται σε προγραμματιστικά σφάλματα στις εκδοχές του UPnP discovery protocol(SSDP), που μπορεί να γίνουν αντικείμενο εκμετάλευσης και αφού κρασάρει το service δίνεται η δυνατότητα να εκτελεστεί παράπλευρος κώδικας στο UPnP control interface (SOAP).

Πάνω από 80 εκατομμύρια μοναδικές IPs "ανταποκρίθηκαν" σε UPnP requests μέσω του Internet εξαιτίας κακής συμπεριφοράς του UPnP SSDP discovery service, σε χιλιάδες διαφορετικά δικτυακά προϊόντα.

Επιπλέον το UPnP control interface (SOAP), βρέθηκε να δίνει πρόσβαση σε λειτουργίες που κανονικά δεν πρέπει να επιτρέπεται να εκτελούνται από μη αξιόπιστα δίκτυα, όπως το άνοιγμα πορτών στο firewall.
Επίσης οι 2 πιο συχνά χρησιμοποιούμενες UPnP βιβλιοθήκες λογισμικού, βρέθηκαν να έχουν πολλαπλά remotely exploitable vulnerabilities.

Όπως τονίζεται στο white paper.

In most cases, network equipment that is "no longer shipping" will not be updated at all, exposing these users to remote compromise until UPnP is disabled or the product is swapped for something new. The flaws identified in the MiniUPnP software were fixed over two years ago, yet over 330 products are still using older versions.

Μεταξύ των πάνω από 1500 κατασκευαστών και πάνω από 6900 προϊόντων, βρίσκονται συσκευές των Belkin, Linksys και Netgear.

Πηγή : Cnet

[bilslgr]

Ποτέ δεν το είχα ανοιχτό το uPnp. Το κλείνω ακόμα και σε γνωστούς και φροντίζω να ρυθμίσω σωστά το NAT.

Μέχρι βέβαια να βγει και παρόμοια είδηση για το NAT...

[goku]

Εγώ το έχω κλεισμένο από την πρώτη στιγμή που αγόρασα το πρώτο μου ρούτερ, εδώ και κάτι χρόνια. Το έχω κλείσει και στο ρούτερ, και στα services του λειτουργικού. Δεν μου φάνηκε ποτές χρήσιμο.

[mrsaccess]

Εδώ θα βρείτε περισσότερες πληροφορίες για το πρόβλημα, καθώς και τρόπους να ελέγξετε αν σας επηρεάζει.
https://community.rapid7.com/communi...plug-dont-play

[Lagman]

Εγώ το έχω κλεισμένο από την πρώτη στιγμή που αγόρασα το πρώτο μου ρούτερ, εδώ και κάτι χρόνια. Το έχω κλείσει και στο ρούτερ, και στα services του λειτουργικού. Δεν μου φάνηκε ποτές χρήσιμο.

Σε κονσόλες όμως τουλάχιστον το κάθε παιχνίδι χρησιμοποιεί διαφορετικές πόρτες κλπ ο περισσότερος κόσμος το ενεργοποιεί.

[GSF]

μόλις scannara το 788vn αλλα δεν μου το βγάζει exploitable. υποθέτω ειναι για πιο παλιές συσκευές..

[JohnPro]

Και γω σκαναρα το ZTE H108NS δεν βρηκε τιποτα. Ουτε και γω πιστευω οτι επροκειτο για τις καινουριες συσκευες.

[sdikr]

upnp ξέρετε υπάρχει και στα windows

[GSF]

upnp ξέρετε υπάρχει και στα windows

ολες τις ip του δικτυου scannara δεν μου έβγαλε κάτι

[RyDeR]

Εγώ πιστεύω ο,τι και να γίνει όταν μιλάμε για απλό χρήστη δεν θα είναι τόσο κακό... Το κακό θα είναι να βγεί με ένα UPnP exploit ένας Asterisk server στο Internet και ενώ εσύ είσαι αραχτός και παίζεις τα games σου άλλοι να σε χρεώνουν ασταμάτητα...

Δεν ξέρω βέβαια αν γίνεται ας πούμε ένας υπολογιστής που έχει π.χ. IP 192.168.1.20 να δώσει request για UPnP port forward π.χ. την 5060 στην ΙP 192.168.1.10... ίσως ικανοποιούνται μόνο requests που αφορούν τον ίδιο υπολογιστή...

[Simpleton]

(...)
Δεν ξέρω βέβαια αν γίνεται ας πούμε ένας υπολογιστής που έχει π.χ. IP 192.168.1.20 να δώσει request για UPnP port forward π.χ. την 5060 στην ΙP 192.168.1.10... ίσως ικανοποιούνται μόνο requests που αφορούν τον ίδιο υπολογιστή...

Στον MiniUPnPd έχεις επιλογή (secure_mode) ακριβώς γι' αυτό το πράγμα. Επίσης, στο router της Thomson (extended security). Λογικά θα υπάρχει και σε άλλες υλοποιήσεις.

Απ' ό,τι καταλαβαίνω, το πιο σοβαρό πρόβλημα εδώ είναι ότι μια (έτσι κι αλλιώς ανασφαλής) υπηρεσία που κανονικά πρέπει να είναι διαθέσιμη μόνο για μηχανήματα του τοπικού δικτύου είναι εκτεθειμένη και σε όλο τον «καλό κόσμο» του διαδικτύου. Αν απαντάει σε πακέτα που προέρχονται από αυτό, το μυαλό μου πάει σε κακορυθμισμένα ή απενεργοποιημένα firewall.

[psyxakias]

Σχετικό νήμα του 2004 by WAntilles: (+) και (-) του Universal Plug & Play

Γενικά αυτό το νήμα πρέπει να αφιερωθεί στον WAntilles και σε τουλάχιστον 58 posts του:

Spoiler:

Επ' ευκαιρία κάνε Stop & πλήρως Disabled και το UPnP service. Και αυτό ενώ δεν χρειάζεται μόνο μπελάδες φέρνει.

Μην χρησιμοποιείς (φίλε χρήστη) UPnP.

Και δεν χρειάζεται το UPnP. Να το απενεργοποιήσεις.

Δεν έχει σχέση το UPnP με τα υπόλοιπα που λες. Και δεν το χρειάζεσαι.

1. Κλείσε το UPnP service ΤΕΛΕΙΩΣ.

Όλα θα σας ήταν πιο απλά αν είχατε μάθει να ζείτε χωρίς το UPnP.

Το UPnP δεν το χρειάζεσαι.

Και ούτε και το UPnP το χρειάζεσαι. Να πας να το κλείσεις ΤΕΛΕΙΩΣ -> Stop & Disabled.

Το λεώ αυτό, γιατί καλό είναι να μάθεις να δουλεύεις με standard εργαλεία (web, telnet) και χωρίς ειδικό software και UPnP. Διότι αυτά λειτουργούν και θα λειτουργούν παντού (Windows, Linux, MacOSX κλπ.).

Μάθε χωρίς το UPnP. Διότι πέραν και του ότι πραγματικά δεν το χρειάζεσαι και έχει αποδεδειγμένα τρύπες ασφαλείας, ισχύουν γι' αυτό και τα παραπάνω περί standards.

Ξέχνα τους αυτοματισμούς και τις κουταμάρες του UPnP. Κλείστο και αυτό ΤΕΛΕΙΩΣ και πήγαινε να ρυθμίσεις το NAT και το firewall κανονικά. Μία φορά, για μία ζωή, για όλο το LAN, και με ασφάλεια, χωρίς τις τρύπες του UPnP και γνωρίζοντας ΠΛΗΡΩΣ τί συμβαίνει στο δίκτυό σου.

Κλείσε όλα τα software firewalls, κλείσε το UPnP, άνοιξε το hardware firewall στο router, και ρύθμισε σωστά αυτό και το ΝΑΤ.

2. Να απενεργοποιήσεις ο,τιδήποτε έχει σχέση με UPnP και firewall από τα XP.

Δεν το χρειάζεστε το UPnP -> ΠΛΗΡΗΣ ΑΠΕΝΕΡΓΠΟΙΗΣΗ.

3. Απενεργοποίησε το UPnP καί στα 2 PCs.

Πήγαινε στα Services και Stop & Disabled το UPnP service.

Να πας και να κάνεις Stop & Disabled το UPnP service. Επίσης να το απενεργοποιήσεις από το router.

1. Απενεργοποιείς το UPnP στο router. 2. Stop & Disable το UPnP service στα Windows.

5. Κλείνεις όλα τα software firewalls και το UPnP σε όλα τα PC πλήρως, και από τα services.

- Να πάψεις να χρησιμοποιείς το UPnP. Είναι ανασφαλές, επικίνδυνο, όχι standard, και αποτρεπτικό για να μάθεις 5 πράγματα παραπάνω για το πώς λειτουργούν firewall, NAT και ports.

Το UPnP δεν σου χρειάζεται: http://www.adslgr.com/forum/showthread.php?t=7517

Κλείσε πλήρως (καί με disabled στα Services) το UPnP καί το Firewall των Windows. Και μην τα ξανανοίξεις γιατί στην πραγματικότητα δεν τα χρειάζεσαι.

4. Πολύ σωστά έχεις κλείσει το UPnP που δεν το χρειάζεσαι. Σιγουρέψου ότι το έχεις κλείσει τελείως και με disabled από τα services.

Επίσης κλείσε ΤΕΛΕΙΩΣ καί το UPnP (καί από τα Services -> Disabled) και να μην το ξανανοίξεις ποτέ.

Firewall + UPnP μόνο προβλήματα δημιουργούν και δεν προσφέρουν τίποτα. Καλό είναι να τα απενεργοποιήσεις ΠΛΗΡΩΣ, καί από τα Services (με Stop & Disabled).

3. Καλό είναι να μαθαίνεις να εργάζεσαι κατά τρόπους που να είναι STANDARD (π.χ. ethernet, χωρίς UPnP κλπ.).

Κλείσε XP SP2 firewall & UPnP ΠΛΗΡΩΣ καί από τα services (stop & disabled). Τέλος κλείσε ΠΛΗΡΩΣ από το 530 UPnP και DHCP.

Καλό είναι να μάθεις να εργάζεσαι χωρίς UPnP που είναι καί επικίνδυνο - ανασφαλές και ΟΧΙ standard (υπάρχει μόνο στα XP+ NT-Class Windows). Άσε που επιτείνει και τον αναλφαβητισμό περί NAT, firewall, port forwading, p2p κλπ.

Τελείως σημαίνει καί από τα Services -> Stop & Disabled. Κάνε το ίδιο καί για το UPnP.

Ευκαρία να:
- απενεργοποιήσεις στο router το DHCP & το UPnP
- απενεργοποιήσεις στα 2003 SP-1 από τα Services με Stop & Disabled τα UPnP και το ICS/FCS

Καλό είναι να μάθεις και συνηθίσεις να λειτουργείς χωρίς το UPnP, από πολλές απόψεις.

Όταν εγώ φωνάζω εδώ και μήνες ότι μόνο προβλήματα δημιουργεί το UPnP και να το κλείσετε τελείως και να μάθετε να δουλεύετε χωρίς αυτό, είμαι κακός ε;

Κλείσε καί από το router καί από τα Windows (Services -> Stop & Disabled) τα παρακάτω:
- UPnP

ΥΓ: Όλες οι εκδόσεις των 2003 έχουν από τη μάνα τους σταματημένο και Disabled το UPnP service. Και πολύ καλά κάνουν.

Τα λόγια περιττεύουν. Βγάλε καί το UPnP.

2. Ορθώς έχεις κλείσει UPnP και DHCP.

Να κλείσεις πλήρως καί απ' όλα τα PC καί το UPnP Service. Stop & Disabled.

1. Κλείσε τελείως από παντού
- καί από τα Services με Stop & Disabled
- τα ακόλουθα services:
- Universal Plug and Play Service (UPnP)

Το UPnP του 9105 το έχεις κλειστό; Το UPnP Service των Windows το έχεις Stop & Disabled; Εάν σε όλα τα παραπάνω η απάντηση είναι θετική, τότε είσαι εντάξει.

Δεν το χρειάζεστε το UPnP. Κλείστε το παντού και πλήρως. Είστε εξυπνότεροι από αυτό.

- Να κλείσεις τα παρακάτω καί από το router:
----> UPnP (Universal Plug and Play)
<...>
Επίσης να κλείσεις πλήρως τα παρακάτω καί από το router:
- UPnP (Universal Plug and Play)
<...>
Να κλείσεις (Stop & Disabled) καί τα παρακάτω services:
- UPnP (Universal Plug and Play)

Και καλά κάνει και μακάρι κανένα πρόγραμμα να μην χρησιμοποιούσε UPnP. Το UPnP δεν είναι λύση. Είναι μόνο τρύπα ασφαλείας, και τεμπελιά-ημιμάθεια.

Μάλλον έχετε ενεργοποιημένα τα άχρηστα DHCP & UPnP. Κλείστε τα τελείως τα ρημάδια.

2. Κλείσιμο του DHCP & του UPnP παντού

2. Από το router κλείνεις DHCP & UPnP.
<...>
5. Παντού κάνεις Stop & Disabled UPnP, ICS, *Firewall* Services.

3. Επίσης κλείσε πανταχόθεν (ZyXEL & Windows) - καί με Stopped & Disabled - DHCP & UPnP.

Κλείσε καί το UPnP καί το Firewall τελείως -> Stop & Disabled και να μην τα ξαναανοίξεις.

Ο θείος σου (και ο δικός μου ή οποιοσδήποτε χρήστης αυτού του επιπέδου γνώσεων) νομίζει ότι μπορεί να τα στήσει τα XP. Εξηγώ αναλυτικά:

Γνωρίζει ο θείος σου να:
- απενεργοποιήσει πλήρως (stopped & disabled) όλα τα επικίνδυνα services -> UPnP, ICS, Windows Firewall, Messenger;

Να μάθεις να δουλεύεις χωρίς άχρηστους superfluous αυτοματισμούς όπως τα UPnP & DHCP. Κλείστα τελείως μια για πάντα.

1. Κλείσε από παντού το DHCP και το UPnP.

Πριν το κάνεις, έχεις παντού κλειστά όλα τα:
- UPnP

- Να είναι απενεργοποιημένα απ' την αρχή:
----> UPnP

Από την αρχή κάνεις μια φορά, σωστή δουλειά, για μια ζωή:
- Κλείνεις παντού - σε router και λειτουργικά - DHCP, UPnP, Messenger Service, ICS & Firewall service, όλα τα software firewalls

- κλείσε το UPnP stopped & disabled (μόνο για Windows)

Να κλείσεις το UPnP από παντού, ρούτερ και Windows. Δεν το χρειάζεσαι και είναι καί επικίνδυνο.

Να κλείσεις από παντού (router και Windows το UPnP).

Αλλά για το συγκεκριμένο πακέτο - και όλα όσα έχουν δυνατότητα upnp - προσωπικά θεωρώ ότι κανένας δεν πρέπει να έχει upnp ενεργοποιημένο, γιατί ανέκαθεν ήταν άκρως επικίνδυνο.

Άσε τους αυτοματισμούς του uPnP, τους τυχαίους, και μοίρασε κανονικά directories στο δίκτυο.

[aiolos.01]

Το πρώτο πράγμα που κάνω μόλις βλέπω uPnP service είναι να το στείλω απο κει πού'ρθε. Και πριν χρόνια είχαν βρει vulnerabilities και τις έλυσαν, αλλά φαίνεται οτι δεν είναι τόσο απλό το θέμα. Στο κάτω κάτω δεν είναι τόσο δύσκολο ακόμα και για κάποιον που δεν ξέρει να ρυθμίσει το δίκτυο του και χωρίς αυτό.

[SfH]

Το θέμα δεν είναι να ξηλώσουμε το upnp ( που είναι χρήσιμο σε αρκετές περιπτώσεις, και ίσως να γίνει πιο χρήσιμο όσο αυξάνεται η υιοθέτηση λύσεων τύπου CGN ) , αλλά να γίνει πιο ασφαλές. Δυστυχώς, οι κατασκευαστές οικιακών cpe συνήθως δε φημίζονται ιδιαίτερα για την ποιότητα του λογισμικού τους.

[WAntilles]

Φαντάσου, δικαιώθηκε, έστω και μετά από 9 χρόνια.

Να τον ακούτε τον άνθρωπο.