Уязвимость в NAT-PMP позволяет управлять трафиком на SOHO-маршрутизаторах

[ArcFi]

Уязвимость в настройке NAT-PMP позволяет управлять трафиком на SOHO-маршрутизаторах

Многие реализации протокола NAT-PMP в SOHO-маршрутизаторах различных производителей оказались подвержены уязвимости, позволяющей удалённому неаутентифицированному атакующему изменить параметры переадресации портов, получить доступ к внутренним сетевым службам на стороне клиента и организовать перехват приватного и публичного трафика путём его перенаправления на внешний хост.

http://www.opennet.ru/opennews/art.shtml?num=40922

***
Люди часто забивают на настройку фаервола в локалке, думая, что роутер их защищает.
А там дырка на дырке…

[vboxer]

Подавляющее большинство вообще не включает и не настраивает фаерволл самого роутера, фильтрации по маку и прочие мелкие полезности.

[ArcFi]

vboxer, смысл новости как раз в том, что фаервол на роутере до одного места.

[.ubuntufan]

ArcFi,
ну почему - если UDP 5351 будет закрыт от внешней сети то все ок.

[rumit]

Люди часто забивают на настройку фаервола в локалке, думая, что роутер их защищает.
А там дырка на дырке…

Ии? как настроить фаервол в локалке?

[ArcFi]

все ок

Всё OK будет, когда оно научится автоматом применять секьюрити апдейты не позднее 48 часов после опубликования информации об уязвимостях.
И когда в прошивках перестанут находить бэкдоры.
Т.е. никогда.

[.ubuntufan]

Проблеме подвержены некоторые модели устройств от компаний ZyXEL, Netgear, ZTE, MikroTik, Ubiquiti, Technicolor, Speedifi, Radinet и Grandstream

охлол, когда же они начнут читать RFC и мануалы к софту, который пихают в сборки

# LAN network interfaces IPs / networks
# there can be multiple listening ips for SSDP traffic.
# should be under the form nnn.nnn.nnn.nnn/nn
# It can also be the network interface name (ie "eth0")
# It if mandatory to use the network interface name to enable IPv6
# HTTP is available on all interfaces.
# When MULTIPLE_EXTERNAL_IP is enabled, the external ip
# address associated with the subnet follows. for example :
#  listening_ip=192.168.0.1/24 88.22.44.13
#listening_ip=192.168.0.1/24
listening_ip=192.168.10.109/24
#listening_ip=eth0

RFC 6886:

The NAT gateway MUST NOT accept mapping requests destined to the NAT gateway's external IP address or received on its external network interface.  Only packets received on the internal interface(s) with a destination address matching the internal address(es) of the NAT gateway should be allowed.

Пользователь решил продолжить мысль 24 Октября 2014, 23:36:32:

Всё OK будет, когда оно научится автоматом применять секьюрити апдейты не позднее 48 часов после опубликования информации об уязвимостях.

Конечно, проблема комплексная. Но мы о конкретной уязвимости говорили и что настройка файервола поможет в данном случае.

[Pilot6]

Надо ставить Openwrt. Тогда проблем не будет.

[victor00000]

narod.ru откуда реклама верх, посмотреть исход. код понял.


Пользователь решил продолжить мысль 25 Октября 2014, 02:56:17:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

L~$
L~$ sudo curlftpfs 'ftp://XXXXX:XXXXX@XXXXXX.narod.ru' ~/ftp
L~$
L~$ sudo touch ~/ftp/start.html
L~$ echo '<html><head></head><body>OK</body></html>' | sudo tee ~/ftp/start.html
<html><head></head><body>OK</body></html>
L~$
L~$ wget -q http://XXXXXX.narod.ru/start.html -O-
<script type="text/javascript" src="/abnl/?adsdata=!XpM;4cEF^hEy8TNRmdWbSh124t68ZYGjjSMqAZfzzEtyKC^qTggpFbT8k4^uOezmsCy;Nx5NrKbGt4Jd7QX5IZYZjNlfQi!IhAliT;o"></script><html><head></head><body>OK</body></html>
L~$


[rumit]

Надо ставить Openwrt. Тогда проблем не будет.

не на все есть прошивка от Openwrt

[Pilot6]

rumit,
Ну это да. Но я всегда покупаю такие, чтобы была. Причем не обязательно менять заводскую прошивку. Но возможность такая должна быть на случай багов или необходимости какого-то дополнительного функционала.