Gå til innhold

Alvorlig sikkerhetshull i UPnP

Dahl

Av Dahl
i Diskuter dataartikler (Tek.no)

Anbefalte innlegg

Vindstille

Vindstille

Skrevet
Skrevet
Er det ikkje restriksjonar i Flash som hindrar det i å sende forespørslar til anna enn domenet flashfila ligg på?

Javascript har denne begrensningen, men ikke Flash.

 

Gnucitizen prøvde først å utnytte denne sårbarheten i UPnP gjennom AJAX (SOAP-forespørsler kan gjøres med AJAX), men da måtte de først finne en XSS (Cross Site Scripting)-sårbarhet i webgrensesnittet til ruteren noe de har greid å finne på mange rutere før. Men etterhvert tipset noen dem/fant de noe på webben om at Flash faktisk kan utføre AJAX-forespørsler til alle webservere, ikke bare den siden javascriptet selv kom fra. Og det er da dette virkelig begynner å bli en veldig stor sårbarhet.

 

Gnucitizen er forøvrig de samme folka som fant hullet i Gmail for en eller to måneder siden.

Lenke til kommentar

Videoannonse

Videoannonse
Annonse
ThorB

ThorB

Skrevet
Skrevet (endret)
Er det ikkje restriksjonar i Flash som hindrar det i å sende forespørslar til anna enn domenet flashfila ligg på?

Javascript har denne begrensningen, men ikke Flash.

 

Gnucitizen prøvde først å utnytte denne sårbarheten i UPnP gjennom AJAX (SOAP-forespørsler kan gjøres med AJAX), men da måtte de først finne en XSS (Cross Site Scripting)-sårbarhet i webgrensesnittet til ruteren noe de har greid å finne på mange rutere før. Men etterhvert tipset noen dem/fant de noe på webben om at Flash faktisk kan utføre AJAX-forespørsler til alle webservere, ikke bare den siden javascriptet selv kom fra. Og det er da dette virkelig begynner å bli en veldig stor sårbarhet.

 

Gnucitizen er forøvrig de samme folka som fant hullet i Gmail for en eller to måneder siden.

 

Mystisk. da jeg drev å utviklet i flash(9 rett etter at den kom ut), var det restriksjoner på domener.

man måtte faktisk opprette en slags tilatelse for å hente data fra andre domener.

men de har kanskje glemt tilsvarende besksyttelsen, for webforespørsler....

 

Flash har sine sårbarheter. jeg har sett en annen sårbarhet som kan avdekke intern nettverket for noen utenforstående. Denne sårbarheten lå i socketstøtten til flash.

Den socket-sårbarheten ble postet allerede i fjor sommer...

http://scan.flashsec.org/

 

håper adobe tar å hånterer disse sårbarhetene asap!

Endret av ThorB
Lenke til kommentar
Vindstille

Vindstille

Skrevet
Skrevet

Glemte å si at absolutt alle foresten ikke er sårbare. Den siste Flashversjonen har en bug som gjør at linjeskift ikke blir håndtert riktig ved slike forespørsler. Så hvis man har en ruter som er veldig omfindtlig mot at linjeskift må være ha både CR+LF kan det hende ruteren faktisk avviser forespørselen.

 

Med andre ord hvis man har en bug i flash og bug i ruteren kan det hende man er beskyttet. Men jeg ville ikke satsett på det akkurat.

Lenke til kommentar
Vindstille

Vindstille

Skrevet
Skrevet
Flash har sine sårbarheter. jeg har sett en annen sårbarhet som kan avdekke intern nettverket for noen utenforstående. Denne sårbarheten lå i socketstøtten til flash.

Den socket-sårbarheten ble postet allerede i fjor sommer...

http://scan.flashsec.org/

Jepp. Det nye er at Gnucitizen fant en måte å kombinere den sammen med UPnP-sårbarheten de har arbeidet med de siste ukene.

Lenke til kommentar
Vindstille

Vindstille

Skrevet
Skrevet
Huff da, er kjedelig å deaktivere UPnP. Blir dette tettet av Adobe eller må alle oppdatere ruterne med ny firmware, eller deaktivere UPnP om det ikke finnes?

Deaktivier UPnP på ruteren er det beste. Det er sikkert noen Flashobjekter som bruker dette til godkjente ting så jeg tror det kan være vanskelig for Adobe å rette opp feilen. Det kan i tillegg være at dette også kan gjøres med andre mindre vanlige klientspråk. Interessant å vite om Java kan gjøre dette. Noen som vet? Med java kan man jo bl.a. få tak i lokaleipadresser og en del andre saker som i verste fall kan brukes av kriminelle. Så det kan jo godt tenkes Java også sliter med dette.

Lenke til kommentar
nercix

nercix

Skrevet
Skrevet
Huff da, er kjedelig å deaktivere UPnP. Blir dette tettet av Adobe eller må alle oppdatere ruterne med ny firmware, eller deaktivere UPnP om det ikke finnes?

 

Det er nok det tryggast å deaktivere UPnp ja. Internt på nettet kan du f.eks bruke Bonjour/Rendevouz (Avahi), som faktisk fungerer, til motsetning til mine erfaringer med UPnP, det forutset sjølvsagt at ein har einingar som støttar dette.

 

Er du så heldig at du har ein ruter med NAT-PMP, kan du bruke dette. Men om Flash, Java, etc. kan sende UDP forespørsler er vel det eit tilsvarande sikkerheitshull.

 

Noko eg stussar på i artikkelen er at der står:

Når den skadelige koden er kjørt, vil angriperen ha kontroll over offerets ruter. En av mange ting angriperen da kan gjøre, er å endre DNS-serveren. Dette kan utnyttes til phishing-angrep, som å bytte ut en nettbank med en svindelside.

Ein kan då ikkje endre DNS-server ved hjelp av UPnP forespørsler? Det har jo i praksis null nytteverdi, og å implementere noko slikt er jo som å be om trøbbel...

 

... Får sjå litt nærmare på kva hullet går ut på.

Lenke til kommentar
HulkHaugen

HulkHaugen

Skrevet
Skrevet
Det er nok det tryggast å deaktivere UPnp ja. Internt på nettet kan du f.eks bruke Bonjour/Rendevouz (Avahi), som faktisk fungerer, til motsetning til mine erfaringer med UPnP, det forutset sjølvsagt at ein har einingar som støttar dette.

Artig at du nevner Bonjour. Har lenge lurt på hva det er, og har ofte slettet dette. Det legger seg inn av seg selv, så jeg regnet med at det var noy spyware e.l.

 

Hva er ulempene med å deaktivere upnp i praksis egentlig?

Lenke til kommentar
stigfjel

stigfjel

Skrevet
Skrevet

Glad dette ikke gjelder meg. Heldigvis for min del er jeg vant med å sette opp de portene jeg skal ha. Bruker OpenBSD med PF på en maskin som fungerer som brannmur og router. Hvis jeg skulle ha brukt IP-telefoni hadde jeg krevd å få vite portnummerene av leverandøren, slik at jeg kan sette opp uten bruk av UPnP. Foreldrene mine har en router som bruker UPnP, men maskinen de bruker hjemme er en laptop med GNU/Linux installert, derfor vil de aldri bli påvirket av dette.

Lenke til kommentar
ThorB

ThorB

Skrevet
Skrevet (endret)
Hva med å ikke åpne flashfilen?

Åpne i i den forstand å kjøre flashfilen. Altså trenger man ikke gjøre annet enn å surfe rundt på en webside med flash installert.

Surfer du virkelig med Flash aktivert i nettleseren din? Da ber du om sikkerhetsproblemer...

hvis du skal virkelig være sikker bør du også deaktivere din nettleser.

 

UPNP ER et sikkerhetshull. Jeg har fjernet UPNP-komponentene i alle windows-installasjonene mine og skrudd det av på ruteren.

hvis jeg ikke tar helt feil ligger hullet bare i en UPNP server?

de komponentene i windows er vel bare klienter... korrekt?

 

ser i den prof of consept coden, at routeren må ha en webserver og en upnp server.

i tillegg hvis routeren har deaktivert http og bruker https, må koden skrives også til å prøve på https regner jeg med.

 

men det kan vel være like greit å deaktivere klientene også.

i tilfelle det er en upnp server på ditt nettverk som du ikke vet av.

pluss at det kommer en ny variant av koden som kjører en slags nettverksskanning for å finne UPNPserverne og utnytte sårbarheten på andre devicer enn en fastsatt generell router ip.

 

her var en del forklaringer på hvordan UPNP fungerer:

http://technet.microsoft.com/en-us/library/bb457049.aspx

 

ser også ut som UPNP sårbarheter har vært kjent lenge:

http://www.securiteam.com/windowsntfocus/6M00L0U3FU.html

 

hvis man ser på koden som postet, kan man benytte mange andre sårbarheter enn dette.

det er jo en kjent sak at mange ISP'er sender sine routere helt uten passord... det er vel helt inntil det nye jeg hørte rykter om at det følgte med en lapp som rådet kunden til å sette passordet. en slik følgte ikke med til meg.

koden kunne jo også ha gått direkte inn på webadmin interfacet og gjort om instillinger der. men den UPNP saken gjør at koden fungerer mer generelt.

 

 

EDIT: endret en del i det jeg skrev, som kunne fort misforståes ;)

Endret av ThorB
Lenke til kommentar
Tordenflesk

Tordenflesk

Skrevet
Skrevet (endret)
http://www.grc.com/UnPnP/UnPnP.htm
Translating eEye's and Microsoft's statements into consequences, this means that without the security update patch, and with the Universal Plug and Play (UPnP) system in its default "enabled" state, any of the many millions of Internet-connected UPnP-equipped Windows systems could be remotely commandeered and forced to download and run any malicious code of a hacker's design. This includes using the machine to launch potent Denial of Service (DoS) and Distributed Denial of Service (DDoS) attacks.
Endret av Tordenflesk
Lenke til kommentar
Vindstille

Vindstille

Skrevet
Skrevet (endret)
ser i den prof of consept coden, at routeren må ha en webserver og en upnp server.

i tillegg hvis routeren har deaktivert http og bruker https, må koden skrives også til å prøve på https regner jeg med.

UPnP kan brukes gjennom SOAP (altså AJAX-forespørsler, så det er nok derfor koden virker kjent). Man trenger mao. ingen webserver/-grensesnitt på ruteren for å være sårbar, bare at UPnP er aktivert. I praksis kunne man utført en UPnP-forespørsel gjennom AJAX. Men siden de fleste nettlesere kun tillater AJAX-spørringer å utføres mot serveren html/javascript-dokumentet kommer fra vil det være umulig å utføre noen UPnP-forespørsel mot andre enn webserveren. Men som sakt har Flash ikke denne begrensningen og det er derfor Flash benyttes til angrepet.

 

Gnucitizen har forøvrig publisert en FAQ jeg anbefaler folk å ta en titt på.

Endret av JonT
Lenke til kommentar
DevilsDecoy

DevilsDecoy

Skrevet
Skrevet
Interessant å vite om Java kan gjøre dette. Noen som vet? Med java kan man jo bl.a. få tak i lokaleipadresser og en del andre saker som i verste fall kan brukes av kriminelle. Så det kan jo godt tenkes Java også sliter med dette.

Vanlige Java-programmer har jo tilgang til det meste vanlige programmer har, så de kan jo brukes, men applets kan så vidt jeg vet bare koble til serveren de ble hentet fra (mener å huske at de på en eller annen måte kan få utvidede rettigheter, men usikker på hvordan). Er ikke sikker på om programmer startet vha. Java Web Start regnes som applets eller lokale programmer...

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste
×
×
  • Opprett ny...