Pavel Bašta z CSIRT.CZ upozorňuje na stránkách Národního bezpečnostního týmu na bezpečnostní díru objevenou společností Rapid7, díky níž až 80 milionů unikátních IP adres reaguje na UPnP (Universal Plug and Play) dotazy z internetu. Existuje riziko, že útočník může spustit na zařízení libovolný kód nebo zapříčinit nedostupnost služby; vedle toho může také na počítač oběti nainstalovat malware. Společnost Rapid7 zdarma poskytla skener ScanNow UPnP, který může identifikovat existující dosažitelné koncové body UPnP ve vaší síti.
Bezpečnostní díra v UPnP vystavuje útoku milióny zařízení
30. 1. 2013
9
nových názorů
Tato zprávička byla zaslána čtenářem serveru Root.cz pomocí formuláře Přidat zprávičku. Děkujeme!
-
na https://www.grc.com/ je v sekcii Services sluzba ShieldsUp! Testuje otvorene porty (aj UPnp). Linka sa generuje vzdy unikatna, takze ju sem nedavam.
Potom na https://www.grc.com/unpnp/unpnp.htm je volne dostupny soft na otestovanie / vypnutie UPnP na lubovolnom Windows pocitaci.
S oblubou pouzivam gibsonovu sluzbu na generovanie perfektnych hesiel https://www.grc.com/passwords.htm
-
Lael Ophir (neregistrovaný)
vypnutie UPnP na lubovolnom Windows pocitaci - to není potřeba. Windows mají od XP SP3 by default zapnutý firewall, který při instalaci UPnP vypne pro všechny interface, na kterých nejsou registrovaná UPnP zařízení. Ve Vistě a výše je UPnP povoleno pro profil firewallu Home Network, ale nikoliv pro Public Network. Navíc zpráva hovoří o dírách v knihovně libupnp, což je primárně linuxový projekt. Problém se týká některých routerů, smart TV, tiskáren apod., pokud používají zranitelnou verzi libupnp, a zároveň je UPnP dostupné z internetu.
Není mi jasné, proč by uživatel měl vypínat podporu UPnP ve Windows, pokud nemá UPnP vystavené na netu.
BTW chybí mi tu nějaká kritika linuxové monokultury, která vede k rozsáhlým zranitelnostem, a volání po diverzifikaci platforem :)
-
Lael Ophir (neregistrovaný)
Pokud si někdo nastaví vnější síť jako home network, obával bych se spíš služeb jako file sharing, remote desktop, RPC atd. UPnP je pak už jen třešnička na dortu, a zakázáním UPnP situaci rozhodně nevyřešíte.
Navíc těch osm buffer overflow vulnerabilities bylo objeveno v primárně linuxové libupnp, nikoliv v podpoře UPnP pro Windows.BTW vy máte něco proti firewallu vestavěném ve Windows? Podle mě nabízí velmi dobrý kompromis mezi bezpečností a jednoduchostí nastavení, který mu může řada jiných produktů závidět.
-
Lael Ophir (neregistrovaný)
Příkladem může být KDE, kde nahlášenou chybu opravili už za deset let :). BTW u těch 17 let šlo o 17 let *neobjevenou* chybu, což je trochu rozdíl.
http://www.root.cz/zpravicky/v-kde-byla-opravena-deset-let-stara-chyba/Souhlasím, že problémem nejsou desktopové počítače s Linuxem. Ty lze celkem snadno patchovat. Problémem jsou třeba smart TV, které se jejich uživatelé většinou neaktualizují, a klidem je prostě připojí do kabelového modemu. A není to jen otázka chyb v UPnP. U Samsungu je možné díky chybě v linuxovém firmwaru kopírovat data z TV, ukrást hesla, odposlouchávat místnost pomocí mikrofonu, a pokud má připojenou kameru (volitelné příslušenství umožňující Skype na TV), můžete se dostat i k ní.
http://securityledger.com/security-hole-in-samsung-smart-tvs-could-allow-remote-spying/
