[NEWS] Flash mette in grave pericolo il router

[c.m.g]

16 Gennaio 2008 ore 11:39

Spoiler:

Quote: Trovata una falla nella gestione dei file flash da parte dei router attraverso il protocollo Universal Plug 'n Play che ne mette a repentaglio il 99% di quelli in commercio. Per il momento non si intravedono possibili rimedi

Una grave vulnerabilità minaccia tutti coloro i quali si connettono ad internet tramite un router e hanno installata l'ultima versione di Flash, cioè la gran parte degli utenti di internet.


A scoprirla sono stati due ricercatori, Adrian Pastor e Petko Petkov, che hanno definito la minaccia molto molto grave in quanto non sembrano esserci facili rimedi al momento nemmeno dal punto di vista dei produttori di tecnologia.

Sfruttando una falla nel protocollo Universal Plug 'n Play (UPnP) e spingendo a vedere un file Flash, un utente che lo volesse potrebbe inserirsi nel router e cambiare il DNS primario usato per trovare computer in rete. Il DNS (Domain Name Server) è quel server cui i router si connettono e che tramuta un URL (es. http://www.google.com) nel suo equivalente numerico, l'unica identificazione che gli altri computer comprendono. Scambiando il sistema di trasposizioni è dunque possibile mandare ad un certo sito quando in realtà si è digitato un altro indirizzo.

Dunque è facile immaginare come sia così possibile ridirigere il traffico destinato ad una banca ad un sito messo in piedi appositamente che sembri identico a quello della suddetta banca ma che catturi i dati immessi dagli utenti. Ma non solo, avendo accesso al router è anche possibile per chi compia l'attacco aprire indiscriminatamente porte del computer, spalancando la strada del proprio hardware e rischiando di vederlo tramutato in zombie.

Il problema è che quasi tutti i router del mondo supportano il protocollo UPnP nato originariamente per semplificare la comunicazione tra device, quindi il 99% dei router è vulnerabile e un primo rudimentale rimedio sarebbe di disabilitarlo e impostare tutto a mano (cosa non alla portata di tutti). Dunque non solo il router è vulnerabile, ma a partire da quest'ultimo lo diventano anche tutti i device collegati (stampanti, scanner eccetera). In più per sua natura il bug non sarà risolvibile con semplicità anche dalla stessa Adobe. I due autori, pertanto, hanno offerto dimostrazione delle potenzialità del problema nella convinzione che «la miglior protezione è una informazione di massa».


Gabriele Niola


Fonte: WebNews.it

[sampei.nihira]

Ma qui siamo all'assurdo......

Però non ho capito bene perchè come fai a capire un'assurdità..........,correggetemi se sbaglio.
In pratica il protocollo UPnP+ flash si comporta come un black hole che bypassa anche la pass di accesso alla configurazione del router ?

[d@vid]

non mi è chiaro cosa succederebbe disattivando la compatibilità col UPnp del router e perchè non sarebbe alla portata di tutti il farlo... in sè cosa gestisce questo protocollo?

[CARVASIN]

Quote:

Originariamente inviato da d@vid

non mi è chiaro cosa succederebbe disattivando la compatibilità col UPnp del router e perchè non sarebbe alla portata di tutti il farlo... in sè cosa gestisce questo protocollo?

Gestisce l'apertura automatica delle porte richieste da un programma X (che abbia il supporto all' upnp) per funzionare (es classico: emule con ID alto).

Io lo uso perchè non mi va di impostare (ormai le imposterò...) a mano le regole per tutti i pc. Inoltre lo preferisco perchè editandole a mano, le porte restano sempre aperte mentre col protocollo upnp lo sono solamente quando il programma è avviato.

Spero di essere stato corretto nella spiegazione

Una cosa non ho capito. Ammettiamo che io digito, nel browser, l'indirizzo della mia banca. Vengo però, tramite questa falla, reindirizzato verso un sito contraffatto che cerca di conoscere i miei dati; il sistema anti phishing (sarebbe un'azione di phishing giusto?) dovrebbe a questo punto entrare in gioco e avvertirmi del sito contraffatto?

Ciao!

[c.m.g]

se ne parla anche su PI:

http://punto-informatico.it/p.aspx?i=2162171

[CARVASIN]

Quote:

Originariamente inviato da CARVASIN

Una cosa non ho capito. Ammettiamo che io digito, nel browser, l'indirizzo della mia banca. Vengo però, tramite questa falla, reindirizzato verso un sito contraffatto che cerca di conoscere i miei dati; il sistema anti phishing (sarebbe un'azione di phishing giusto?) dovrebbe a questo punto entrare in gioco e avvertirmi del sito contraffatto?

Ciao!

Quote:

Originariamente inviato da c.m.g

se ne parla anche su PI:

http://punto-informatico.it/p.aspx?i=2162171

Quote:

Originariamente inviato da PI

"Questo trasforma di fatto il router e la rete sotto il suo controllo in uno zombie che l'aggressore può sfruttare quando e come vuole, bypassando per altro i filtri anti-phishing del browser".

Ecco appunto (c'è poco da ridere...)

Ciao!

[d@vid]

Quote:

Originariamente inviato da CARVASIN

Gestisce l'apertura automatica delle porte richieste da un programma X (che abbia il supporto all' upnp) per funzionare (es classico: emule con ID alto).

Io lo uso perchè non mi va di impostare (ormai le imposterò...) a mano le regole per tutti i pc. Inoltre lo preferisco perchè editandole a mano, le porte restano sempre aperte mentre col protocollo upnp lo sono solamente quando il programma è avviato.

Spero di essere stato corretto nella spiegazione

Una cosa non ho capito. Ammettiamo che io digito, nel browser, l'indirizzo della mia banca. Vengo però, tramite questa falla, reindirizzato verso un sito contraffatto che cerca di conoscere i miei dati; il sistema anti phishing (sarebbe un'azione di phishing giusto?) dovrebbe a questo punto entrare in gioco e avvertirmi del sito contraffatto?

Ciao!

Ah ecco! Grazie della spiegazione...

Immagino in effetti che debbano essere configurate manualmente le regole per TUTTI i programmi che accedono alla rete (es apertura della porta per i brwser, apertura della/e porte per MSN, per gli aggiornamenti automatici dell'antivirus, ecc... ). Nel qual caso sì che sarebbe un tantinello ostico
Per quanto riguarda eMule, ho undubbio: se non natto le porte di eMule nel firewall router, a me dà sempre ID basso... vuol dire che ho l'UPnp che non funziona?

[CARVASIN]

Quote:

Originariamente inviato da d@vid

Ah ecco! Grazie della spiegazione...

Immagino in effetti che debbano essere configurate manualmente le regole per TUTTI i programmi che accedono alla rete (es apertura della porta per i brwser, apertura della/e porte per MSN, per gli aggiornamenti automatici dell'antivirus, ecc... ). Nel qual caso sì che sarebbe un tantinello ostico

Su questo non so risponderti con chiarezza (sempre che io sia stato chiaro prima)
Il router che ho io (netgear dg834gt) permette senza toccare nulla (di default blocca qualsiasi servizio in ingresso e permette qualsiasi in uscita) di navigare. Credo dipenda tutto dalle impostazioni inziale che la casa offre. Per MSN non ti so dire perchè anche in questo caso viene fornito già con alcune porte aperte. Per l'antivirus non so perchè non lo uso. Update del sistema invece non serve (almeno, io li ho sempre fatti senza problemi ).
Esistono però molti router ("domestici" e non) in commercio. Se non ne possiedi il problema non si pone, se un giorno lo avrai non farti paranoie e cerca qui il thread relativo e vedrai che sarà molto facile configurarlo (ti parlo del mio caso, che sono una frana totale.).

Quote:

Originariamente inviato da d@vid

Per quanto riguarda eMule, ho undubbio: se non natto le porte di eMule nel firewall router, a me dà sempre ID basso... vuol dire che ho l'UPnp che non funziona?

Diciamo che non viene usato. Mi spiego meglio: l'upnp lo devi impostare sia sul router che sul programma. Potrebbe essere non attivo sul programma ma abilitato sul router (o viceversa). Nel dg834gt è abilitato di default (cosi come nella maggior parte di quei router definiti domestici").

Ciao!

[W.S.]

Quote:

Originariamente inviato da sampei.nihira

Ma qui siamo all'assurdo......

Però non ho capito bene perchè come fai a capire un'assurdità..........,correggetemi se sbaglio.
In pratica il protocollo UPnP+ flash si comporta come un black hole che bypassa anche la pass di accesso alla configurazione del router ?

Non solo, la falla in se sta nel UPnP, flash viene usato come "vettore d'attacco" ma nulla vieta di sfruttarla tramite altri vettori (gli stessi ricercatori avevano usato un XSS).

[Paolo Airone]

Quote:

Originariamente inviato da d@vid

non mi è chiaro cosa succederebbe disattivando la compatibilità col UPnp del router e perchè non sarebbe alla portata di tutti il farlo... in sè cosa gestisce questo protocollo?

Ma per disattivatre UPnp non credo di voglia una laurea? E poi: il firewall non potrebbe assolvere a tale compito? Qualcosa non è molto chiara!

[W.S.]

Quote:

Originariamente inviato da Paolo Airone

Ma per disattivatre UPnp non credo di voglia una laurea? E poi: il firewall non potrebbe assolvere a tale compito? Qualcosa non è molto chiara!

Si, non è riportato in modo chiaro, bisognerebbe leggersi l'articolo originale dei ricercatori (appena ho tempo lo cerco). Comunque in generale si, un personal firewall dovrebbe riuscire a bloccare l'attacco.

[c.m.g]

Quote:

Originariamente inviato da W.S.

Si, non è riportato in modo chiaro, bisognerebbe leggersi l'articolo originale dei ricercatori (appena ho tempo lo cerco). Comunque in generale si, un personal firewall dovrebbe riuscire a bloccare l'attacco.

la dinamica della minaccia è spiegata direttamente da uno degli autori della scoperta direttamente in un advisory del suo blog:

http://www.gnucitizen.org/blog/hacking-the-interwebs

[sampei.nihira]

Quote:

Originariamente inviato da W.S.

Non solo, la falla in se sta nel UPnP, flash viene usato come "vettore d'attacco" ma nulla vieta di sfruttarla tramite altri vettori (gli stessi ricercatori avevano usato un XSS).

Ho letto l'articolo di P.I.
Secondo me è piuttosto lacunoso.
Che significa "flash maligno" inglobato in una pagina web ?
Maligno per chi e cosa ?

Sono molto dubbioso che questo "avvertimento" resti solo a livello concettuale e non pratico !!

[W.S.]

Nell'advisory è spiegato abbastanza bene

Per flash maligno si intende un file flash creato appositamente (o modificato ad-hoc) per indurre il client che lo esegue ad eseguire una richiesta SOAP al router tramite POST.

In effetti non è facilmente sfruttabile su larga scala (penso siano necessarie alcune piccole modifiche per ogni modello/famiglia di router) e il browser fa una richiesta http al router, cosa facilmente rilevabile da qualsiasi firewall. Rimane comunque una falla molto pericolosa.

[sampei.nihira]

Io continuo a ritenere che la minaccia sia più teorica che pratica......

E personalmente non mi tocca perchè l' UPnP dei miei 2 router è sempre stato disabilitato !!

Ancora non l'ha fatto nessuno quindi lo consiglio io.

Disabilitate se non lo è di default la funzione UPnP del vostro router.
Basta entrare nella configurazione principale del router e reperire la parte cercata
che io ho evidenziato nell'immagine con un pallino:



Poi entrare nella zona UPnP e togliere il segno di spunta dove presente:



Naturalmente occorre salvare le eventuali modifiche.

Si vive bene lo stesso......senza !!

[Gennaro Sb]

L'alternativa alla disattivazione del upnp non potrebbe essere settare i dns manualmente sulla scheda di rete? senza mettere come dns primario/seconradio l'ip del router?

[xcdegasp]

L'uPnP può agire sia in locale che verso apparato di rete (router)..
in locale può far aprire in automatico le porte nel firewall software, solitamente usato per aprire in comodità e velocemente le porte nel firewall di Windows, mentre verso il router lo avete ampiamente descritto..

Io è da diverso tempo che vedo in malo modo l'uPnP proprio perchè è un servizio che può accettare richieste anche da programmi maligni.. non avresti nessuna segnalazione di che porta è aperta e da chi

è un po' come lasciare apparati di rete con la password di fabbrica

[xcdegasp]

Quote:

Originariamente inviato da Gennaro Sb

L'alternativa alla disattivazione del upnp non potrebbe essere settare i dns manualmente sulla scheda di rete? senza mettere come dns primario/seconradio l'ip del router?

ma non ci vuole nulla a cambiarteli, cosa che attualmente i virus fanno

[Gennaro Sb]

Quote:

Originariamente inviato da xcdegasp

ma non ci vuole nulla a cambiarteli, cosa che attualmente i virus fanno

Vero, ma se il router/firewall è configurato per permettere l'uscita solo sui 2 dns desiderati il problema dovrebbe essere risolto,si spera.. no?
Be cmq non importa tanto ti smontano il router

[lancetta]

addio anche alla protezione del router..(almeno per il niubbo di turno)
eppoi immagino tutti gli scaricatori folli infettati con l'ultima vers di emule che ha il gestore uPnP integrato...