Millions of switches, routers and firewalls are potentially vulnerable to hijacking and interception, after American security firm Rapid7 discovered a serious issue with how these devices are configured.
问题(影响家庭和企业用户)在用于允许外部网络与在本地网络上运行的设备进行通信的NAT-PMP设置中找到。
In a vulnerability advisory, Rapid7 found 1.2 million devices that suffer from misconfigured NAT-PMP settings, with 2.5% vulnerable to an attacker intercepting internal traffic, 88% to an attacker intercepting outbound traffic, and 88% to a denial of service attack as a result of this vulnerability.
对什么NAT感到好奇-PMP是,如何保护自己?请继续阅读以获取更多信息。
什么是NAT-PMP,为什么有用?
世界上有两种IP地址。第一个是内部IP地址。这些唯一地标识网络上的设备,并允许LAN内的设备相互通信。这些也是私有的,只有内部网络上的人才能看到并连接到他们。
然后我们有了公共IP地址。这些是Internet工作方式的核心部分,并允许不同的网络相互标识并相互连接。问题是,周围没有足够的IPv4设备。
因此,我们必须使用一种称为网络地址转换(NAT)的设备。这使得每个公共地址都可以走得更远,因为一个公共地址可以与专用网络上的多个设备相关联。想要接触更大的互联网?为此,我们需要使用一种称为“网络地址转换-端口映射协议(NAT-PMP)"的工具。
此开放标准由Apple于2005年左右创建,旨在使端口映射要容易得多。 NAT-PNP可以在许多设备上找到,包括不一定由Apple生产的设备,例如ZyXEL,Linksys和Netgear生产的设备。一些本地不支持它的路由器也可以通过第三方固件访问NAT-PMP,例如DD-WRT,Tomato和OpenWRT。
因此,我们认为NAT-PMP非常重要。但是它怎么容易受到攻击呢?
漏洞如何发挥作用
定义NAT-PMP工作原理的RFC表示:
那是什么意思?简而言之,这意味着不在本地网络上的设备将无法为路由器创建规则。看起来合理,对吧?
当路由器忽略此有价值的规则时,就会出现问题。貌似有120万人这样做。
后果可能很严重。如前所述,从受感染路由器发送的流量可能会被拦截,从而可能导致数据泄漏和身份盗用。那么,您如何解决它?
受影响的设备是什么?
这是一个很难回答的问题。 Rapid7尚无法确切证明哪些路由器受到了影响。通过漏洞评估:
因此,您必须进行一些自我挖掘。这是您需要做的。
如何找到受影响的人?
首先,您需要登录路由器并通过其Web界面查看配置设置。鉴于有成百上千个不同的路由器,每个路由器具有完全不同的Web界面,因此在此处提供设备特定的建议几乎是不可能的。
但是,在大多数家庭联网设备中,要旨几乎是相同的。首先,您需要通过网络浏览器登录设备的管理面板。检查您的用户手册,但是通常可以从192.168.1.1(这是它们的默认IP地址)访问Linksys路由器。同样,D-Link和Netgear使用192.168.0.1,而Belkin使用192.168.2.1。
如果仍然不确定,可以在命令行中找到它。在OS X上运行:在设置中四处查找,直到找到与“网络地址转换"相关的内容为止。如果您看到诸如“允许在不受信任的网络接口上允许NAT-PMP"之类的内容,请关闭它。
Rapid7还使计算机紧急响应小组连线中心(CERT / CC)开始缩小范围易受攻击的设备列表,目的是与设备制造商合作以发布修复程序。
即使路由器也可能是安全漏洞
我们经常采用网络设备的安全性理所当然。但是,此漏洞表明,我们用于连接互联网的设备的安全性尚不确定。
一如既往,我很想听听您对这个主题的想法。在下面的评论框中让我知道您的想法。
