UPnP е риск за сигурността?

UPnP идва поддръжка по подразбиране на много нови маршрутизатори. В един момент ФБР и други експерти по сигурността препоръчаха да се изключи UPnP от съображения за сигурност. Но каква е сигурността на UPnP днес? Търгуваме ли сигурността за удобство при използване на UPnP?

UPnP означава "Universal Plug and Play". При използване на UPnP приложението може автоматично да препраща порт на вашия рутер, като ви спестява ръчно пренасочване на портове. Ще разгледаме причините, поради които хората препоръчват изключване на UPnP, за да можем да получим ясна представа за рисковете за сигурността.

Кредит за изображения: comedy_nose на Flickr

Malware On Your Network може да използва UPnP

Вирус, троянски кон, червей или друга злонамерена програма, която успява да зарази компютър в локалната ви мрежа, може да използва UPnP, точно както законните програми могат. Докато рутер обикновено блокира входящи връзки, предотвратявайки злонамерен достъп, UPnP може да позволи на злонамерена програма да прескочи изцяло защитната стена. Например, един троянски кон може да инсталира програма за дистанционно управление на компютъра ви и да отвори дупка за него в защитната стена на маршрутизатора, позволявайки 24/7 достъп до компютъра ви от интернет. Ако UPnP са били изключени, програмата не може да отвори порта - въпреки че може да прескочи защитната стена по друг начин и да се обади вкъщи.

Дали това е проблем? да. Няма да се справяме с това - UPnP предполага, че местните програми са надеждни и им позволява да пренасят пристанищата. Ако злонамерен софтуер не е в състояние да пренасочи портовете, е важно за вас, ще искате да деактивирате UPnP.

ФБР каза на хората да деактивират UPnP

Близо до края на 2001 г. Националният център за защита на инфраструктурата на ФБР препоръча на всички потребители да деактивират UPnP поради препълване на буфера в Windows XP. Този бъг е отстранен от корекция за сигурност. НИПК всъщност издаде поправка за този съвет по-късно, след като осъзнаха, че проблемът не е в самия UPnP. (Източник)

Дали това е проблем? Не. Докато някои хора могат да си спомнят консултацията на NIPC и да имат отрицателен възглед за UPnP, този съвет беше погрешен по това време и конкретният проблем бе решен от пач за Windows XP преди повече от десет години.

Кредит за изображението: Карстен Лоренцен на Flickr

Атаката на Flash UPnP

UPnP не изисква никакво удостоверяване от потребителя. Всяко приложение, което се изпълнява на компютъра ви, може да поиска от маршрутизатора да препрати порт през UPnP, поради което по-горе зловредният софтуер може да злоупотреби с UPnP. Може да се предположи, че сте сигурни, докато на локални устройства не се изпълнява зловреден софтуер, но вероятно сте сгрешили.

Атаката Flash UPnP бе открита през 2008 г. Специално изработен Flash аплет, работещ на уеб страница във вашия уеб браузър, може да изпрати UPnP заявка до вашия рутер и да поиска да препрати портовете. Например, аплетът може да поиска от маршрутизатора да прехвърли портове 1-65535 към компютъра ви, като ефективно го изложи на целия интернет. Нападателят ще трябва да използва уязвимост в мрежова услуга, която се изпълнява на компютъра, след като направи това, но използването на защитна стена на компютъра ви ще ви помогне да се защитите.

За съжаление, става все по-лошо - на някои рутери Flash аплет може да промени основния DNS сървър с UPnP заявка. Пренасочването на портове би било най-малкото от вашите притеснения - злонамерен DNS сървър може да пренасочи трафика към други уебсайтове. Например, той може да насочи Facebook.com на друг IP адрес изцяло - адресната лента на уеб браузъра ще каже Facebook.com, но ще използвате уебсайт, създаден от злонамерена организация.

Дали това е проблем? да. Не мога да намеря някаква индикация, че това някога е било фиксирано. Дори и да е фиксиран (това би било трудно, тъй като това е проблем с самия протокол UPnP), много по-стари рутери, които все още се използват, ще бъдат уязвими..

Лоши UPnP реализации на маршрутизаторите

Уебсайтът UPnP Hacks съдържа подробен списък с въпроси, свързани със сигурността, по начините, по които различни маршрутизатори изпълняват UPnP. Това не са непременно проблеми с UPnP; те често са проблеми с UPnP реализациите. Например, много UPnP изпълнения на рутери не проверяват правилно входа. Злонамереното приложение може да поиска от маршрутизатора да пренасочи мрежа към отдалечени IP адреси в Интернет (вместо локални IP адреси) и маршрутизаторът ще се съобрази. На някои Linux-базирани рутери е възможно да се използва UPnP, за да се изпълняват команди на маршрутизатора. (Източник) Уебсайтът изброява много други подобни проблеми.

Дали това е проблем? да! Милиони рутери в природата са уязвими. Много производители на маршрутизатори не са свършили добра работа за осигуряване на техните UPnP приложения.

Кредит за изображението: Бен Мейсън на Flickr

Трябва да деактивирате UPnP?

Когато започнах да пиша този пост, очаквах да стигна до заключението, че недостатъците на UPnP са доста незначителни, просто въпрос на търговия с малко сигурност за някакво удобство. За съжаление, изглежда, че UPnP има много проблеми. Ако не използвате приложения, които се нуждаят от препращане на портове, като например приложения от типа peer-to-peer, сървъри за игри и много VoIP програми, може би ще е по-добре да изключите напълно UPnP. Тежките потребители на тези приложения ще искат да обмислят дали са готови да откажат някаква сигурност за удобството. Можете все пак да прехвърляте портове без UPnP; това е просто малко повече работа. Вижте нашето ръководство за пренасочване на портове.

От друга страна, тези дефекти на рутера не се използват активно в дивата природа, така че реалният шанс да срещнете злонамерен софтуер, който използва недостатъци в UPnP реализацията на маршрутизатора, е доста нисък. Някои злонамерени програми използват UPnP за препращане на портове (например червея Conficker), но не се натъкнах на пример за злонамерен софтуер, използващ тези дефекти на рутера..

Как да го деактивирам? Ако вашият маршрутизатор поддържа UPnP, ще намерите опция за деактивирането му в уеб интерфейса. За повече информация се обърнете към ръководството на вашия рутер.

Не сте съгласни със сигурността на UPnP? Оставете коментар!