Marcadores

Vulnerabilidade no protocolo NAT coloca 1,2 milhões de roteadores domésticos em risco.

Pesquisadores de segurança da Rapid7 teriam descoberto uma vulnerabilidade grave no protocolo NAT-PMP  que coloca 1,2 milhões de roteadores SOHO em risco.

Outra falha de segurança grave ameaça mais de 1,2 milhão SOHO roteadores em todo o mundo, a vulnerabilidade está relacionada com os " implementações do protocolo NAT-PMP impróprias e falhas de configuração ", como explica Jon Hart, um pesquisador da Rapid7.
Hart explicou o que o título emitido foi descoberto pelos pesquisadores depois de uma varredura da Internet como parte do Projeto Sonar , que é um estudo em curso em sites e dispositivos voltados para a Internet pública.
A exploração da vulnerabilidade permite que um atacante para realizar muitas atividades maliciosas, mais graves e perigosos entre eles, sendo a capacidade de redirecionar o tráfego para um site controlado pelos atacantes.
Na realidade, conforme relatado pela Rapid7 CSO HD Moore, do  Metasploit quadro já inclui módulos para executar ataques exploram vulnerabilidades NAT-PMP, o principal problema segundo o especialista é que o exame não ajuda Rapid7 para identificar os produtos específicos afetados pela falha .
nat-pmp Metasploit
Como previsto, as opções são diferentes, os atores ameaça poderia causar umanegação de serviço- condição do dispositivo alvo, poderia fornecer o acesso às configurações do dispositivo e os serviços de cliente NAT internos.
Qual é o NAT-PMP?
NAT-PMP é tecnologias que permite, entre outras coisas, a aplicações de Internet para configurar roteadores e gateways SOHO, ignorando a configuração de encaminhamento de porta manual. NAT-PMP é executado na porta UDP 5351 e automatiza o processo de encaminhamento de porta. Ele é usado por muitos dispositivos de rede para permitir que os usuários externos acesso aos recursos atrás de um NAT.
protocolo nat-pmp
O protocolo NAT-PMP é generalizada devido à sua simplicidade, mas, como destacado por Hart requer configuração cuidado para evitar problemas graves.Durante a atividade de verificação, os especialistas notaram quase 1,2 milhão de dispositivos na Internet pública, que respondeu às suas solicitações NAT-PMP externos. As respostas dadas representam duas categorias de vulnerabilidades de segurança:
  • manipulação de mapeamento de portas malicioso.
  • divulgação de informações sobre o dispositivo NAT-PMP.
análise  publicada por Hart detalhou a seguinte segurança específica:
  • Interceptação de Tráfego Interno NAT: ~ 30.000 (2,5% dos dispositivos de responder)
  • Interceptação de tráfego externo: ~ 1.03m (86% dos dispositivos de responder)
  • Acesso ao Cliente Interno NAT Serviços: ~ 1.06m (88% de responder dispositivos)
  • DoS contra hospedar serviços: ~ 1.06m (88% dos dispositivos de responder)
  • Divulgação de Informações sobre o dispositivo NAT-PMP: ~ 1,2 m (100% dos dispositivos de responder)
Moore explicou que a  interceptação de tráfego externo é uma questão muito séria:
"Isso vai permitir que alguém executar um comando e controle kit de malware ou algo parecido para transformar seu sistema em um proxy reverso que serve o tráfego malicioso, comece hospedagem site malicioso em IP do seu roteador ", disse Moore," A maneira como eles fazem isso é do sistema malicioso para virar o mapeamento de volta para você de todos esses roteadores vulneráveis. E por causa da forma como o protocolo funciona, você não tem que realmente saber onde esses dispositivos são. Você pode, literalmente, pulverizá-los para fora através do éter. "
Hart explicou dispositivos vulneráveis ​​não são compatíveis com a  RFC 6886 especificação, que afirma que um gateway NAT não deve ser configurado para aceitar pedidos de mapeamento para o endereço IP externo que tem na Internet.
"O gateway NAT não devem aceitar solicitações de mapeamento destinados para o endereço IP externo do gateway NAT ou recebidos em sua interface de rede externa. Apenas os pacotes recebidos na interface interna (s) com um endereço de destino correspondente ao endereço interno (es) do gateway NAT deve ser permitido. ", Diz a especificação. 
Hart também acrescentou que o tráfego destinado ao dispositivo rodando NAT-PMP interface interna é menos provável em risco, no entanto, podem ser redirecionadas para fora da rede para um serviço controlado pelos atacantes.
"Este ataque também pode ser usado para fazer com que o dispositivo NAT-PMP para responder e encaminhar o tráfego para serviços não é mesmo escutando," Hart escreveu. "Por exemplo, se o dispositivo NAT-PMP não tem um serviço HTTP escuta na interface externa, esta mesma falha poderia ser usado para redirecionar solicitações HTTP de entrada para outro host externo, fazendo com que pareça que o conteúdo HTTP hospedado no host externo é hospedado pelo dispositivo NAT-PMP ".
Pesquisadores de segurança fechar o post com uma série de recomendações para os vendedores, ISPs e usuários finais.
"Os fabricantes que produzem produtos com capacidades de NAT-PMP deve tomar cuidado para garantir que falhas como as divulgadas neste documento não são possíveis em configurações normais e talvez até mesmo anormais.ISPs e entidades que atuam como ISPs devem tomar cuidado para garantir que os dispositivos de acesso prestados aos clientes são igualmente livres dessas falhas. Por fim, para os consumidores com dispositivos capazes NAT-PMP em sua rede, o seu deve assegurar que todo o tráfego NAT-PMP é proibida em interfaces de rede não confiáveis. "

Marcadores:

Comentários

Postar um comentário

Postagens mais visitadas