Является ли UPnP угрозой безопасности?

UPnP включен по умолчанию на многих новых маршрутизаторах. В какой-то момент ФБР и другие эксперты по безопасности рекомендовали отключить UPnP по соображениям безопасности. Но насколько безопасен UPnP сегодня? Мы торгуем безопасностью для удобства при использовании UPnP?

UPnP расшифровывается как «Universal Plug and Play». Используя UPnP, приложение может автоматически перенаправлять порт на вашем маршрутизаторе, избавляя вас от необходимости перенаправлять порты вручную. Мы рассмотрим причины, по которым люди рекомендуют отключать UPnP, чтобы получить четкое представление о рисках безопасности.

Кредит изображения: comedy_nose на Flickr

Вредоносное ПО в вашей сети может использовать UPnP

Вирус, троянский конь, червь или другая вредоносная программа, которым удается заразить компьютер в вашей локальной сети, могут использовать UPnP, как и легитимные программы. Хотя маршрутизатор обычно блокирует входящие соединения, предотвращая некоторый злонамеренный доступ, UPnP может позволить вредоносной программе полностью обойти межсетевой экран. Например, троянский конь может установить на ваш компьютер программу удаленного управления и открыть для нее дыру в брандмауэре маршрутизатора, обеспечивая круглосуточный доступ к вашему компьютеру из Интернета. Если бы UPnP был отключен, программа не смогла бы открыть порт, хотя могла бы обойти брандмауэр другими способами и позвонить домой.

Это проблема? Да. Этого не избежать - UPnP предполагает, что локальные программы заслуживают доверия, и позволяет им перенаправлять порты. Если для вас важна неспособность вредоносного ПО перенаправлять порты, отключите UPnP.

ФБР приказало людям отключить UPnP

Ближе к концу 2001 года Национальный центр защиты инфраструктуры ФБР посоветовал всем пользователям отключить UPnP из-за переполнения буфера в Windows XP. Эта ошибка была исправлена ​​патчем безопасности. На самом деле NIPC выпустил поправку к этому совету позже, когда поняли, что проблема не в самом UPnP. (Источник)

Это проблема? Нет. Хотя некоторые люди могут помнить рекомендации NIPC и отрицательно относиться к UPnP, в то время этот совет был неверным, и конкретная проблема была исправлена ​​патчем для Windows XP более десяти лет назад.

Кредит изображения: Карстен Лоренцен на Flickr

Флэш-атака UPnP

UPnP не требует от пользователя какой-либо аутентификации. Любое приложение, запущенное на вашем компьютере, может попросить маршрутизатор перенаправить порт через UPnP, поэтому указанное выше вредоносное ПО может злоупотреблять UPnP. Вы можете подумать, что вы в безопасности, пока на каких-либо локальных устройствах не запущено вредоносное ПО, но, вероятно, ошибаетесь.

Атака Flash UPnP была обнаружена в 2008 году. Специально созданный Flash-апплет, работающий на веб-странице в вашем веб-браузере, может отправить запрос UPnP на ваш маршрутизатор и попросить его перенаправить порты. Например, апплет может попросить маршрутизатор перенаправить порты 1-65535 на ваш компьютер, эффективно открывая доступ ко всему Интернету. Однако после этого злоумышленнику придется воспользоваться уязвимостью в сетевой службе, работающей на вашем компьютере, - использование брандмауэра на вашем компьютере поможет защитить вас.

К сожалению, ситуация ухудшается - на некоторых маршрутизаторах апплет Flash может изменить основной DNS-сервер с помощью запроса UPnP. Перенаправление портов будет наименьшей из ваших проблем - вредоносный DNS-сервер может перенаправить трафик на другие веб-сайты. Например, он может полностью указать Facebook.com на другой IP-адрес - в адресной строке вашего веб-браузера будет указано Facebook.com, но вы будете использовать веб-сайт, созданный злоумышленником.

Это проблема? Да. Я не могу найти никаких указаний на то, что это когда-либо было исправлено. Даже если бы это было исправлено (это было бы сложно, поскольку это проблема самого протокола UPnP), многие старые маршрутизаторы, которые все еще используются, были бы уязвимы.

Плохая реализация UPnP на маршрутизаторах

Веб-сайт UPnP Hacks содержит подробный список проблем безопасности в том, как разные маршрутизаторы реализуют UPnP. Это не обязательно проблемы с самим UPnP; у них часто возникают проблемы с реализациями UPnP. Например, многие реализации UPnP маршрутизаторов не проверяют ввод должным образом. Вредоносное приложение может попросить маршрутизатор перенаправить сетевой трафик на удаленные IP-адреса в Интернете (вместо локальных IP-адресов), и маршрутизатор будет соответствовать. На некоторых маршрутизаторах на базе Linux можно использовать UPnP для выполнения команд на маршрутизаторе. (Источник) На сайте перечислено множество других подобных проблем.

Это проблема? Да! Миллионы маршрутизаторов в дикой природе уязвимы. Многие производители маршрутизаторов не очень хорошо защищают свои реализации UPnP.

Кредит изображения: Бен Мейсон на Flickr

Стоит ли отключать UPnP?

Когда я начал писать этот пост, я ожидал, что сделаю вывод, что недостатки UPnP довольно незначительны, это простой вопрос, связанный с небольшой мерой безопасности для некоторого удобства. К сожалению, похоже, что UPnP имеет много проблем. Если вы не используете приложения, требующие переадресации портов, такие как одноранговые приложения, игровые серверы и многие программы VoIP, возможно, вам лучше полностью отключить UPnP. Активные пользователи этих приложений захотят подумать, готовы ли они отказаться от безопасности ради удобства. Вы все еще можете пересылать порты без UPnP; это просто немного больше работы. Ознакомьтесь с нашим руководством по перенаправлению портов.

С другой стороны, эти недостатки маршрутизатора не используются активно, поэтому реальная вероятность того, что вы столкнетесь с вредоносным программным обеспечением, использующим недостатки реализации UPnP вашего маршрутизатора, довольно низка. Некоторые вредоносные программы действительно используют UPnP для пересылки портов (например, червь Conficker), но я не встречал примера вредоносного ПО, использующего эти недостатки маршрутизатора.

Как мне его отключить? Если ваш маршрутизатор поддерживает UPnP, вы найдете возможность отключить его в его веб-интерфейсе. Дополнительную информацию см. В руководстве к маршрутизатору.

Вы не согласны с безопасностью UPnP? Оставить комментарий!