Open NAT-PMP Este informe identifica los hosts con el funcionamiento de Protocolo de asignación de puertos NAT ( NAT -PMP ) y que es accesible a través de Internet . Estos servicios tienen el potencial de exponer información sobre una red de clientes en los que este servicio es accesible. INFORMACIÓN DE LOS CAMPOS ADJUNTOS AL REPORTE:
Campo Descripción
Vulnerabilidad Hace referencia al nombre de la vulnerabilidad
Dirección IP Dirección IP del dispositivo en cuestión
Puerto Puerto que responde a la vulnerabilidad
TIMESTAMP_ECUCERT Tiempo en que la IP fue probada por el ECUCERT
AS_name Nombre del ASN
STATUS_ECUCERT Estado de la vulnerabilidad
Vulnerabilidad Hace referencia al nombre de la vulnerabilidad
timestamp Tiempo que la IP fue probada en UTC+0
ip La dirección IP del dispositivo en cuestión
protocol Protocolo por la que la respuesta NAT- PMP ingresó (por lo general UDP )
port Puerto por la que la respuesta NAT-PMP ingresó
hostname Nombre DNS reverso del dispositivo en cuestión
tag Siempre será NAT-PMP
asn ASN en el que el dispositivo en cuestión reside
geo País en el que el dispositivo en cuestión reside
region Estado / Provincia / Región administrativa donde el dispositivo en cuestión reside
city Ciudad en el que el dispositivo en cuestión reside
naics North American Industry Classification System Code
sic Standard Industrial Classification System Code
version Version Code enviado en respuesta
opcode Operation Code enviado en respuesta
uptime Cantidad de tiempo en segundos desde que se restableció el dispositivo
external_ip La dirección IPv4 que el dispositivo piensa es su dirección externa
REVISIÓN Muchos dispositivos NAT- PMP se configuran de forma incorrecta, lo que les permite ensayar sobre el terreno las solicitudes recibidas en interfaces de red externos o mapas rutas de envío hasta direcciones distintas a la del host solicitante, haciéndolos potencialmente vulnerables a la divulgación de la información y las solicitudes de asignación de puertos maliciosos. DESCRIPCIÓN NAT-PMP es un protocolo de asignación de puertos en los que una traducción de direcciones de red (NAT), típicamente un router, se solicitó por un host de la red local de confianza para reenviar el tráfico entre la red externa y el anfitrión de petición. Tal como se especifica en el RFC 6886, "La puerta de enlace NAT no deben aceptar las solicitudes de asignación destinados a la dirección IP externa de la pasarela de NAT o recibidos en su interfaz de red externa." Además, las solicitudes de asignación "deben" ser asignada a la dirección de origen del host solicitante interna. Cuando un dispositivo NAT-PMP no hace cumplir estas restricciones y se configura de forma insegura, puede aceptar solicitudes de asignación de puertos malicioso o revelar información sobre sí mismo. El informe de Rapid7 describe el alcance del problema y las vulnerabilidades que pueden emerger de configuraciones incorrectas e implementaciones NAT-PMP: Resumen de Vulnerabilidad Durante nuestra investigación, hemos identificado aproximadamente 1,2 millones de dispositivos en Internet público que respondió a nuestras sondas externas NAT-PMP. Sus respuestas representan dos tipos de vulnerabilidades; manipulación asignación de puertos malicioso y la divulgación de información sobre el dispositivo NAT-PMP. Éstos se pueden dividir en 5 temas concretos que se describen a continuación: Interceptación de Interior Tráfico NAT: ~ 30.000 (2,5% de los dispositivos que responden) La interceptación de tráfico externo: ~ 1.03m (86% de los dispositivos que responden) El acceso a los Servicios Internos NAT Cliente: ~ 1.06M (88% de los dispositivos de responder) DoS contra el anfitrión Servicios: ~ 1.06M (88% de los dispositivos que responden) Divulgación de información sobre el dispositivo NAT-PMP: ~ 1,2 m (100% de los dispositivos que responden) Rapid7 también indica que las configuraciones incorrectas de miniupnpd son la causa más probable para la mayoría de los casos vulnerables. Miniupnpd es un demonio UPnP ligero que también soporta NAT-PMP y está ampliamente disponible en todas las plataformas. Es posible que las interfaces de red internos y externos en miniupnpd a configurarse indistintamente por los ejecutores, lo que puede explicar cómo algunos dispositivos son vulnerables. IMPACTO Un intruso remoto no autenticado podría ser capaz de reunir información sobre un dispositivo NAT, manipular su asignación de puertos, interceptar su tráfico privado y público, acceder a sus servicios para clientes privados y bloquear sus servicios de acogida. SOLUCIÓN Configurar NAT-PMP segura Los desarrolladores y administradores de aplicación NAT-PMP deben tener cuidado para asegurarse de que los dispositivos están configurados de forma segura, específicamente que las interfaces LAN y WAN están bien asignadas. Peticiones NAT-PMP sólo se aceptan en las interfaces internas, y asignaciones de puerto sólo se abren para la dirección IP interna solicitante. Links de descarga:
NAT PMP - Descripción
MD5: 9510ac5b3486c14d72a246f38ac69c62
Dirección - Av. Amazonas N 40-71 y Gaspar de Villarroel Quito, Ecuador Teléfono - (+593) 22 272-179
EcuCERT
ecucert Centro de respuesta a incidentes informáticos del Ecuador
Llaves PGP/GPG
(+593) 22 272-179
Envíanos un Correo

Copyright © 2017 EcuCERT