Blog gratis
Reportar
Editar
¡Crea tu blog!
Compartir
¡Sorpréndeme!
Blog de la Escuela de Educación Secundaria Técnica N 8 de Quilmes
Administrador Prof. Claudio Enrique Alonso Alvite
img
26 de Octubre, 2014    General

Implementación incorrecta de protocolo NAT-PMP en múltiples dispositivos

Se ha descubierto que un gran número de dispositivos (de diferentes fabricantes) tienen una configuración incorrecta del protocolo NAT-PMP, que podrían permitir a un atacante interceptar tráfico privado y sensible de redes internas o externas.

Clientes como  µTorrent soportan NAT-PMP
NAT-PMP (Port Mapping Protocol) es un protocolo implementado en múltiples routers domésticos y otros dispositivos de red que permite a una computadora que está en una red privada (detrás de un router NAT) configurar automáticamente el router para permitir que sistemas externos puedan acceder a servicios TCP y UDP internos. Es empleado por servicios como "Volver a mi Mac" de Apple o sistemas de intercambio de archivos (Torrent).

Los investigadores de Rapid7 (conocidos por el producto Metasploit) han identificado aproximadamente 1,2 millones de dispositivos en Internet con una configuración NAT-PMP incorrecta por lo que quedan vulnerables a distintos ataques. Según Rapid7 han encontrado:
  • Aproximadamente 30.000 dispositivos que permiten interceptar el tráfico NAT interno (aproximadamente el 2,5% de los dispositivos afectados).
  • Aproximadamente 1,03 millones de dispositivos que permiten interceptar el tráfico NAT externo (aproximadamente el 86% de los dispositivos afectados).
  • Aproximadamente 1,06 millones de dispositivos que permiten el acceso a los servicios de los clientes NAT internos (aproximadamente el 88% de los dispositivos afectados).
  • Aproximadamente 1,06 millones de dispositivos que pueden verse afectados por denegaciones de servicio contra los servicios del host (aproximadamente el 88% de los dispositivos afectados).
  • Aproximadamente 1,2 millones de dispositivos de los que el atacante puede obtener información sobre el propio dispositivo (el 100% de los dispositivos afectados).


Según el análisis de países realizado por Rapid7 las IPs de los routers afectados pertenecen a los siguientes: Argentina, Rusia, China, Brasil, India, Malasia, Estados Unidos, México, Singapur y Portugal.

Rapid7 también indica que la causa más probable de las vulnerabilidades resida en configuraciones incorrectas de miniupnpd. Miniupnpd es un demonio UPnP ligero que también soporta NAT-PMP y está ampliamente disponible para todas las plataformas. Es posible que las interfaces de red interna y externa en miniupnpd estén configurados por los implementadores para que puedan intercambiarse, lo que puede explicar que algunos dispositivos sean vulnerables.

Desde la versión 1.8.20141022, miniupnpd descarta los paquetes NAT-PMP recibidos en la interfaz WAN. El archivo de configuración por defecto, "miniupnpd.conf", ahora contiene comentarios adicionales para permitir configuraciones más seguras.

Para el anuncio responsable a los fabricantes Rapid7 confirma que optó por que fuera el CERT/CC el responsable de esta tarea. Este organismo ha confirmado los siguientes fabricantes afectados: Grandstream, MikroTik, Netgear, Radinet, Speedifi, Technicolor, Tenda, Ubiquiti Networks, ZTE Corporation y ZyXEL. Aunque Apple también hace uso de este protocolo no se ve afectado. Los fabricantes que hacen uso de miniupnpd han publicado actualizaciones para incorporar una versión actualizada no vulnerable.

Los administradores que implementen NAT-PMP deberán asegurarse de que sus dispositivos estén configurados adecuadamente. Se recomienda implementar reglas en el firewall para bloquear que sistemas no confiables tengan acceso al puerto 5351/udp o bien desactivar NAT-PMP en caso de que no sea necesario.

Más información:

Incorrect implementation of NAT-PMP in multiple devices

R7-2014-17: NAT-PMP Implementation and Configuration Vulnerabilities

NAT Port Mapping Protocol (NAT-PMP)


Antonio Ropero

Twitter: @aropero
Palabras claves , ,
publicado por alonsoclaudio a las 00:17 · Sin comentarios  ·  Recomendar
 
Más sobre este tema ·  Participar
Comentarios (0) ·  Enviar comentario
Enviar comentario

Nombre:

E-Mail (no será publicado):

Sitio Web (opcional):

Recordar mis datos.
Escriba el código que visualiza en la imagen Escriba el código [Regenerar]:
Formato de texto permitido: <b>Negrita</b>, <i>Cursiva</i>, <u>Subrayado</u>,
<li>· Lista</li>
CALENDARIO
Ver mes anterior Marzo 2020 Ver mes siguiente
DOLUMAMIJUVISA
1234567
891011121314
15161718192021
22232425262728
293031
BUSCADOR
Blog   Web
TÓPICOS
» General (2606)
NUBE DE TAGS  [?]
SECCIONES
» Inicio
ENLACES
MÁS LEÍDOS
» Analizando el LiveBox 2.1 de Orange
» Cómo espiar WhatsApp
» Cómo usar Metashield protector for Client y por qué utilizarlo
» Ejecución remota de código arbitrario en OpenSSH
» Ganar dinero con 1.200 Millones de identidades robadas
» Hardware y sus 4 Funcionamientos Basicos y Principales en una Computadora
» Redes de la Deep Web: CJDNS y la Red Hyperboria
» Unidad Central de Procesamiento CPU
» Vulnerabilidad en Youtube permitió borrar cualquier video
» Wassap, la aplicación que permite usar WhatsApp desde la PC
SE COMENTA...
» Revelan lo fácil que es hackear cualquier cuenta de WhatsApp
1 Comentario: free robux
» Cómo espiar WhatsApp
540 Comentarios: FOUD CHERIF, Maria, FOUD CHERIF, [...] ...
» Cómo bajar apps desde Google Play a tu PC
1 Comentario: apk
» Recopilatorio de aplicaciones y sistemas vulnerables para practicar
1 Comentario: alex
SOBRE MÍ
FOTO

Prof. Claudio Enrique Alonso Alvite



» Ver perfil

AL MARGEN
Escuela de Educacion Secundaria Tecnica N 8 de Quilmes
(Técnicos en Informática Personal y Profesional)
FULLServices Network | Blogger | Privacidad