CERT-LT savo svetainėje sukūrė papildomą įrankį
2014-04-14Lietuvos Respublikos nacionalinis elektroninių ryšių tinklų ir informacijos saugumo incidentų tyrimo padalinys CERT-LT registruoja vis daugiau incidentų, susijusių su UDP protokolo pagrindu veikiančių paslaugų saugumo spragomis. Atsižvelgdamas į tai, CERT-LT savo svetainėje sukūrė papildomą įrankį interneto naudotojams.
Nuo šiol apsilankius tinklalapyje https://www.nksc.lt/irankiai.html, galima patikrinti, ar naudotojo tinklo įrenginyje nėra saugumo spragų, kurios atsiranda dėl SSDP, NTP, SNMP, DNS, NetBIOS protokolų tam tikrų trūkumų.
Nuo 2014 m. balandžio 1 d. iki balandžio 9 d. buvo užregistruoti 37675 unikalūs Lietuvos IP adresai, turintys SSDP, DNS, NTP, SNMP, NetBIOS paslaugų saugumo spragas. Apie tokius IP adresus CERT-LT informavo juos prižiūrinčius Lietuvos interneto paslaugų teikėjus.
Detaliau apie kiekvieną šių spragų.
SSDP
SSDP (angl. Simple Service Discovery Protocol) yra naudojamas UPnP (angl. Universal Plug and Play) protokole, kad būtų galima surasti automatinius įrenginius, kurie taip pat naudoja UPnP protokolą, ir įjungti juos į tinklą.
UPnP yra internetinis protokolas, kurio paskirtis – įrenginiams automatiškai surasti ir prisijungti prie kitų įrenginių. UPnP protokolas dažniausiai namų tinkle naudojamas apsikeisti duomenimis ir įrenginiams tarpusavyje komunikuoti.
Dėl SSDP protokolo sukuriamos saugumo spragos įsilaužėlis, siųsdamas SSDP paieškos (angl. SEARCH) užklausas, perpildo „libupnp” bibliotekos „Steko buferį” (angl. Stack-based buffer), tokiu būdu gali sutrikdyti įrenginio veiklą arba galima jį išnaudoti įvairioms atakoms internete (pvz., DDoS).
Tam, kad būtų ištaisyta ši spraga ir įrenginys nebedalyvautų kenkimo veikloje, CERT-LT rekomenduoja:
atnaujinti įrenginio programinę įrangą (angl. firmware);
nustatyti įrenginio sąranką taip, kad UPnP protokolo paslauga negalėtų pasinaudoti Jūsų nepageidaujami įrenginiai, tai yra blokuoti prieiga prie 1900-ojo UDP prievado;
nesant UPnP protokolo naudojimo būtinybės, rekomenduojame UPnP protokolo paslaugą išjungti.
DNS spraga OpenResolver
Esant OpenResolver saugumo spragai, tinklo įrenginys atsakinėja į visas (įskaitant ir iš išorinio tinklo gaunamas) DNS (angl. Domain Name System) užklausas, nors turi reaguoti tik į savo vidinio tinklo naudotojų užklausas. DNS paslauga veikia UDP protokolo 53-uoju prievadu. Tokia situacija gali būti išnaudojama įvairioms atakoms internete (pvz., DDoS) ar nusikalstamai veikai vykdyti. Nenaudojant DNS paslaugos 53-uoju prievadu rekomenduojama apriboti jos pasiekiamumą iš išorinio tinklo. Naudojant DNS paslaugą 53-uoju prievadu rekomenduojama ją sukonfigūruoti taip, kad informaciją būtų išduodama tik apie Jūsų domenus. Daugiau informacijos apie Open Resolver spragą http://dns.measurement-factory.com/surveys/openresolvers.html.
NTP
NTP (angl. Network Time Protocol) yra internetinis protokolas (naudojantis UDP 123-iąjį prievadą), kurio paskirtis – tikslus laiko nustatymas ir kompiuterinių sistemų sinchronizavimas.
Pasinaudojus NTP serverio saugumo spraga, gali būti vykdomos paskirstytosios paslaugų trikdymo atakos (DDoS). Šių atakų metu, pasinaudojant IP protokolo adreso falsifikacija (angl. IP spoofing), paprastai išnaudojamos pasenusios ir neapsaugotos tinklo paslaugos, kurios leidžia neįgaliotam naudotojui gauti didelio srauto atsakymą į palyginti mažas užklausas. Atakai naudojama NTP protokole esanti MONLIST užklausa, grąžinanti istoriją apie paskutinius NTP naudotojus. Atakos metu maži 8 baitų UDP paketai su falsifikuotu IP adresu yra pradedami siųsti į pažeidžiamą NTP serverį. Serveris į kiekvieną paketą atsako daug didesniu duomenų kiekiu ir gali būti išnaudojamas DDoS atakoms.
Tam, kad būtų ištaisyta ši spraga ir įrenginys nebedalyvautų kenkimo veikloje, CERT-LT rekomenduoja naujovinti NTP serverį į 4.2.7p26 versiją, kurioje MONLIST užklausa yra pakeista saugia MRUNLIST funkcija. Atnaujinus NTP serverį, jis pasipildo nauju saugumo mechanizmu, kuris patikrina, ar su užklausos paketu gautas IP adresas sutampa su atsakymo laukiančio kliento IP adresu. Kaip tą padaryti, reikia skaityti konkretaus įrenginio aprašyme arba kreiptis į specialistus.
Daugiau informacijos apie NTP spragas galite pasiskaityti tinklalapyje http://www.kb.cert.org/vuls/id/348126.
SNMP
SNMP (angl. The Simple Network Management Protocol) yra vienas populiariausių tinklo įrenginių valdymo protokolų, jis veikia OSI modelio taikomajame lygmenyje (angl. Application Layer). Protokolas naudoja 161-ąjį UDP prievadą.
Dėl SNMP protokolo sukuriamų saugumo spragų įsilaužėliui gali būti sudarytos sąlygos atlikti sistemos trikdymo ataką (DOS), nutraukti teikiamas paslaugas, kai kuriais atvejais ‒ gauti prieigą prie pažeisto įrenginio.
CERT-LT rekomenduoja:
atnaujinti įrenginio programinę įrangą (angl. firmware);
nustatyti įrenginio sąranką taip, kad ryšys su kitais įrenginiais nebūtų nustatomas pagal nutylėjimą (angl. Default settings);
nesant SNMP protokolo naudojimo būtinybės, rekomenduojame SNMP protokolo paslaugą išjungti.
Daugiau informacijos apie SNMP spragas galite paskaityti tinklalapyje
http://www.cert.org/historical/tech_tips/snmp_faq.cfm#2.
NetBIOS
NetBIOS (angl. Network Basic Input/Output System) leidžia tinklo įrenginiams komunikuoti ir keistis duomenimis tarpusavyje. NetBIOS veikia UDP protokolo 137-uoju prievadu ir gali būti išnaudojamas įvairioms atakoms internete (pvz., DDoS) ar kitai nusikalstamai veikai vykdyti. Rekomenduojama apriboti įrenginio NetBIOS paslaugos pasiekiamumą iš interneto.
Daugiau informacijos apie UDP protokolo naudojimą tam tikro pobūdžio DDoS (angl. reflective DDoS) atakoms https://www.us-cert.gov/ncas/alerts/TA14-017A.
CERT-LT primena ir dėl botnetų. Jei naudotojui kilo įtarimų, kad jo kompiuteris gali būti įtrauktas į botneto veiklą, gali pasitikrinti CERT-LT tinklalapyje https://www.nksc.lt/tikrinti.html, ar kompiuterio interneto protokolo (IP) adresas nėra užfiksuotas CERT-LT duomenų bazėje kaip dalyvaujantis kenkimo veikloje.
