16 Gennaio 2008 ore 11:39

http://www.webnews.it/img/news/news_1b655c6cae90900a.png

Trovata una falla nella gestione dei file flash da parte dei router attraverso il protocollo Universal Plug 'n Play che ne mette a repentaglio il 99% di quelli in commercio. Per il momento non si intravedono possibili rimedi



Una grave vulnerabilità minaccia tutti coloro i quali si connettono ad internet tramite un router e hanno installata l'ultima versione di Flash, cioè la gran parte degli utenti di internet.


A scoprirla sono stati due ricercatori, Adrian Pastor e Petko Petkov, che hanno definito la minaccia molto molto grave in quanto non sembrano esserci facili rimedi al momento nemmeno dal punto di vista dei produttori di tecnologia.

Sfruttando una falla nel protocollo Universal Plug 'n Play (UPnP) e spingendo a vedere un file Flash, un utente che lo volesse potrebbe inserirsi nel router e cambiare il DNS primario usato per trovare computer in rete. Il DNS (Domain Name Server) è quel server cui i router si connettono e che tramuta un URL (es. http://www.google.com) nel suo equivalente numerico, l'unica identificazione che gli altri computer comprendono. Scambiando il sistema di trasposizioni è dunque possibile mandare ad un certo sito quando in realtà si è digitato un altro indirizzo.

Dunque è facile immaginare come sia così possibile ridirigere il traffico destinato ad una banca ad un sito messo in piedi appositamente che sembri identico a quello della suddetta banca ma che catturi i dati immessi dagli utenti. Ma non solo, avendo accesso al router è anche possibile per chi compia l'attacco aprire indiscriminatamente porte del computer, spalancando la strada del proprio hardware e rischiando di vederlo tramutato in zombie.

Il problema è che quasi tutti i router del mondo supportano il protocollo UPnP nato originariamente per semplificare la comunicazione tra device, quindi il 99% dei router è vulnerabile e un primo rudimentale rimedio sarebbe di disabilitarlo e impostare tutto a mano (cosa non alla portata di tutti). Dunque non solo il router è vulnerabile, ma a partire da quest'ultimo lo diventano anche tutti i device collegati (stampanti, scanner eccetera). In più per sua natura il bug non sarà risolvibile con semplicità anche dalla stessa Adobe. I due autori, pertanto, hanno offerto dimostrazione (http://www.gnucitizen.org/blog/hacking-the-interwebs) delle potenzialità del problema nella convinzione che «la miglior protezione è una informazione di massa».


Gabriele Niola


Fonte: WebNews.it (http://www.webnews.it/news/leggi/7521/flash-mette-in-grave-pericolo-il-router/)

Ma qui siamo all'assurdo......

Però non ho capito bene perchè come fai a capire un'assurdità..........,correggetemi se sbaglio.
In pratica il protocollo UPnP+ flash si comporta come un black hole che bypassa anche la pass di accesso alla configurazione del router ?

non mi è chiaro cosa succederebbe disattivando la compatibilità col UPnp del router e perchè non sarebbe alla portata di tutti il farlo... in sè cosa gestisce questo protocollo?

non mi è chiaro cosa succederebbe disattivando la compatibilità col UPnp del router e perchè non sarebbe alla portata di tutti il farlo... in sè cosa gestisce questo protocollo?

Gestisce l'apertura automatica delle porte richieste da un programma X (che abbia il supporto all' upnp) per funzionare (es classico: emule con ID alto).

Io lo uso perchè non mi va di impostare (ormai le imposterò...) a mano le regole per tutti i pc. Inoltre lo preferisco perchè editandole a mano, le porte restano sempre aperte mentre col protocollo upnp lo sono solamente quando il programma è avviato.

Spero di essere stato corretto nella spiegazione :)

Una cosa non ho capito. Ammettiamo che io digito, nel browser, l'indirizzo della mia banca. Vengo però, tramite questa falla, reindirizzato verso un sito contraffatto che cerca di conoscere i miei dati; il sistema anti phishing (sarebbe un'azione di phishing giusto?) dovrebbe a questo punto entrare in gioco e avvertirmi del sito contraffatto?

Ciao!

se ne parla anche su PI:

http://punto-informatico.it/p.aspx?i=2162171

Una cosa non ho capito. Ammettiamo che io digito, nel browser, l'indirizzo della mia banca. Vengo però, tramite questa falla, reindirizzato verso un sito contraffatto che cerca di conoscere i miei dati; il sistema anti phishing (sarebbe un'azione di phishing giusto?) dovrebbe a questo punto entrare in gioco e avvertirmi del sito contraffatto?

Ciao!

se ne parla anche su PI:

http://punto-informatico.it/p.aspx?i=2162171

"Questo trasforma di fatto il router e la rete sotto il suo controllo in uno zombie che l'aggressore può sfruttare quando e come vuole, bypassando per altro i filtri anti-phishing del browser".

Ecco appunto :D (c'è poco da ridere...:fagiano:)

Ciao!

Gestisce l'apertura automatica delle porte richieste da un programma X (che abbia il supporto all' upnp) per funzionare (es classico: emule con ID alto).

Io lo uso perchè non mi va di impostare (ormai le imposterò...) a mano le regole per tutti i pc. Inoltre lo preferisco perchè editandole a mano, le porte restano sempre aperte mentre col protocollo upnp lo sono solamente quando il programma è avviato.

Spero di essere stato corretto nella spiegazione :)

Una cosa non ho capito. Ammettiamo che io digito, nel browser, l'indirizzo della mia banca. Vengo però, tramite questa falla, reindirizzato verso un sito contraffatto che cerca di conoscere i miei dati; il sistema anti phishing (sarebbe un'azione di phishing giusto?) dovrebbe a questo punto entrare in gioco e avvertirmi del sito contraffatto?

Ciao!

Ah ecco! Grazie della spiegazione...

Immagino in effetti che debbano essere configurate manualmente le regole per TUTTI i programmi che accedono alla rete (es apertura della porta per i brwser, apertura della/e porte per MSN, per gli aggiornamenti automatici dell'antivirus, ecc... ). Nel qual caso sì che sarebbe un tantinello ostico :fagiano:
Per quanto riguarda eMule, ho undubbio: se non natto le porte di eMule nel firewall router, a me dà sempre ID basso... vuol dire che ho l'UPnp che non funziona? :stordita:

Ah ecco! Grazie della spiegazione...

Immagino in effetti che debbano essere configurate manualmente le regole per TUTTI i programmi che accedono alla rete (es apertura della porta per i brwser, apertura della/e porte per MSN, per gli aggiornamenti automatici dell'antivirus, ecc... ). Nel qual caso sì che sarebbe un tantinello ostico :fagiano:

Su questo non so risponderti con chiarezza (sempre che io sia stato chiaro prima) :stordita:
Il router che ho io (netgear dg834gt) permette senza toccare nulla (di default blocca qualsiasi servizio in ingresso e permette qualsiasi in uscita) di navigare. Credo dipenda tutto dalle impostazioni inziale che la casa offre. Per MSN non ti so dire perchè anche in questo caso viene fornito già con alcune porte aperte. Per l'antivirus non so perchè non lo uso. Update del sistema invece non serve (almeno, io li ho sempre fatti senza problemi ;)).
Esistono però molti router ("domestici" e non) in commercio. Se non ne possiedi il problema non si pone, se un giorno lo avrai non farti paranoie e cerca qui il thread relativo e vedrai che sarà molto facile configurarlo (ti parlo del mio caso, che sono una frana totale.).
Per quanto riguarda eMule, ho undubbio: se non natto le porte di eMule nel firewall router, a me dà sempre ID basso... vuol dire che ho l'UPnp che non funziona?
Diciamo che non viene usato. Mi spiego meglio: l'upnp lo devi impostare sia sul router che sul programma. Potrebbe essere non attivo sul programma ma abilitato sul router (o viceversa). Nel dg834gt è abilitato di default (cosi come nella maggior parte di quei router definiti domestici").

Ciao!

Ma qui siamo all'assurdo......

Però non ho capito bene perchè come fai a capire un'assurdità..........,correggetemi se sbaglio.
In pratica il protocollo UPnP+ flash si comporta come un black hole che bypassa anche la pass di accesso alla configurazione del router ?

Non solo, la falla in se sta nel UPnP, flash viene usato come "vettore d'attacco" ma nulla vieta di sfruttarla tramite altri vettori (gli stessi ricercatori avevano usato un XSS).

non mi è chiaro cosa succederebbe disattivando la compatibilità col UPnp del router e perchè non sarebbe alla portata di tutti il farlo... in sè cosa gestisce questo protocollo?

Ma per disattivatre UPnp non credo di voglia una laurea? E poi: il firewall non potrebbe assolvere a tale compito? Qualcosa non è molto chiara!

Ma per disattivatre UPnp non credo di voglia una laurea? E poi: il firewall non potrebbe assolvere a tale compito? Qualcosa non è molto chiara!
Si, non è riportato in modo chiaro, bisognerebbe leggersi l'articolo originale dei ricercatori (appena ho tempo lo cerco). Comunque in generale si, un personal firewall dovrebbe riuscire a bloccare l'attacco.

Si, non è riportato in modo chiaro, bisognerebbe leggersi l'articolo originale dei ricercatori (appena ho tempo lo cerco). Comunque in generale si, un personal firewall dovrebbe riuscire a bloccare l'attacco.

la dinamica della minaccia è spiegata direttamente da uno degli autori della scoperta direttamente in un advisory del suo blog:

http://www.gnucitizen.org/blog/hacking-the-interwebs

Non solo, la falla in se sta nel UPnP, flash viene usato come "vettore d'attacco" ma nulla vieta di sfruttarla tramite altri vettori (gli stessi ricercatori avevano usato un XSS).

Ho letto l'articolo di P.I.
Secondo me è piuttosto lacunoso.
Che significa "flash maligno" inglobato in una pagina web ?
Maligno per chi e cosa ?

Sono molto dubbioso che questo "avvertimento" resti solo a livello concettuale e non pratico !!

Nell'advisory è spiegato abbastanza bene :)

Per flash maligno si intende un file flash creato appositamente (o modificato ad-hoc) per indurre il client che lo esegue ad eseguire una richiesta SOAP al router tramite POST.

In effetti non è facilmente sfruttabile su larga scala (penso siano necessarie alcune piccole modifiche per ogni modello/famiglia di router) e il browser fa una richiesta http al router, cosa facilmente rilevabile da qualsiasi firewall. Rimane comunque una falla molto pericolosa.

Io continuo a ritenere che la minaccia sia più teorica che pratica......:rolleyes: :rolleyes:

E personalmente non mi tocca perchè l' UPnP dei miei 2 router è sempre stato disabilitato !! ;)

Ancora non l'ha fatto nessuno quindi lo consiglio io.

Disabilitate se non lo è di default la funzione UPnP del vostro router.
Basta entrare nella configurazione principale del router e reperire la parte cercata
che io ho evidenziato nell'immagine con un pallino:

http://img36.picoodle.com/img/img36/4/1/19/t_upnpm_46f133a.png (http://www.picoodle.com/view.php?img=/4/1/19/f_upnpm_46f133a.png&srv=img36)

Poi entrare nella zona UPnP e togliere il segno di spunta dove presente:

http://img31.picoodle.com/img/img31/4/1/19/t_upnp1m_b40ddba.png (http://www.picoodle.com/view.php?img=/4/1/19/f_upnp1m_b40ddba.png&srv=img31)

Naturalmente occorre salvare le eventuali modifiche.

Si vive bene lo stesso......senza !!

L'alternativa alla disattivazione del upnp non potrebbe essere settare i dns manualmente sulla scheda di rete? senza mettere come dns primario/seconradio l'ip del router?

L'uPnP può agire sia in locale che verso apparato di rete (router)..
in locale può far aprire in automatico le porte nel firewall software, solitamente usato per aprire in comodità e velocemente le porte nel firewall di Windows, mentre verso il router lo avete ampiamente descritto..

Io è da diverso tempo che vedo in malo modo l'uPnP proprio perchè è un servizio che può accettare richieste anche da programmi maligni.. non avresti nessuna segnalazione di che porta è aperta e da chi :p

è un po' come lasciare apparati di rete con la password di fabbrica :D

L'alternativa alla disattivazione del upnp non potrebbe essere settare i dns manualmente sulla scheda di rete? senza mettere come dns primario/seconradio l'ip del router?

ma non ci vuole nulla a cambiarteli, cosa che attualmente i virus fanno :)

ma non ci vuole nulla a cambiarteli, cosa che attualmente i virus fanno :)
Vero, ma se il router/firewall è configurato per permettere l'uscita solo sui 2 dns desiderati il problema dovrebbe essere risolto,si spera.. no?
Be cmq non importa tanto ti smontano il router :)

addio anche alla protezione del router..(almeno per il niubbo di turno)
eppoi immagino tutti gli scaricatori folli infettati con l'ultima vers di emule che ha il gestore uPnP integrato...:rolleyes:

addio anche alla protezione del router..(almeno per il niubbo di turno)
eppoi immagino tutti gli scaricatori folli infettati con l'ultima vers di emule che ha il gestore uPnP integrato...:rolleyes:

Gli scaricatori folli non c'entrano nulla dal momento che la maggior parte dei router ha l'upnp abilitato di default.

Ciao!

Gli scaricatori folli non c'entrano nulla dal momento che la maggior parte dei router ha l'upnp abilitato di default.

Ciao!

scaricatore folle?:D scherzo :)

esatto!
e te non immagini quante guide ci sono in rete per sfruttare questa applicazione di emule....invece di configurare a mano te lo fà in automatico per avere porte ID alto...e credi che a questi individui ammesso che sappiano del problema flash interessi la loro sicurezza...Già di per se nel girone dei dannati c'è un mare di gente che si infetta con crack e roba varia...la stragrande maggioranza presi su emule per loro ammissione stessa..figurati ora se effettivamente sfrutteranno questo exploit per allargare le vie di infezione..a tal proposito sull' uPnP dai un occhiata qui http://www.grc.com/unpnp/unpnp.htm che sto tipo di sistema fosse un pò permissivo lo si sapeva già da tempo:rolleyes:

Saluti:cool:

Secondo voi il blocco flash tramite ie7pro può servire? oppure la vulnerabilità può colpire il mio router?

cito un passo del blog dell'esperto di sicurezza che ha scoperto la falla e che nessuno si è preso la briga di leggere:

Shockwave Flash 9.0 r115 (the latest at the time of writing but not automatically deployed) seams to incorrectly supply the request headers. This may make the attack to fail if you use Firefox, Opera or Safari and the attacked router or UPnP device is picky about CR and CRLF line endings. Earlier flash versions does not have this problem/bug. Keep in mind that most devices will accept the request although the line endings are mixed up a bit.

credo che questo passo è molto significativo e chiarisce ogni vostro dubbio.

lo potete raggiungere a questo indirizzo:

http://www.gnucitizen.org/blog/hacking-the-interwebs