| Asunto: | VSantivirus No 2615 Año 11, miércoles 16 de enero de 2008 | | Fecha: | Miercoles, 16 de Enero, 2008 05:44:01 (-0200) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No 2615 Año 11, miércoles 16 de enero de 2008
_____________________________________________________________
Dispositivos UPnP en riesgo de ataques
_____________________________________________________________
http://www.vsantivirus.com/vul-upnp-140108.htm
Dispositivos UPnP en riesgo de ataques
Por Angela Ruiz
angela@videosoft.net.uy
Existen múltiples reportes sobre un nuevo vector de ataque
mediante archivos SWF maliciosos (películas de Shockwave
Flash), que tiene como objetivo dispositivos de redes que
soportan UPnP (Universal Plug and Play). Esto incluye muchos
routers utilizados hoy día.
El servicio "Universal Plug and Play" (UPnP), es una
colección de protocolos que permiten el reconocimiento y
conexión de diferentes dispositivos a la red, incluso
inalámbricos, y aún cuando la misma no esté configurada.
Básicamente UPnP obtiene la información del nuevo hardware
que puede ser detectado e instalado, sin necesidad de una
conexión física con la computadora que lo utiliza, mientras
informa de sus funciones y capacidades de procesamiento a los
demás.
Está diseñado para permitir que dispositivos de redes puedan
conectarse fácilmente unos con otros. Un dispositivo con UPnP
activado, puede controlar otros dispositivos UPnP que estén
habilitados, tales como cortafuegos y routers, de forma
automática y sin autenticación.
Algunas aplicaciones pueden utilizar UPnP para abrir
automáticamente puertos en routers, o modificar otros
parámetros en dispositivos compatibles.
Múltiples vendedores sacan sus productos con UPnP habilitado
por defecto. Estos dispositivos pueden ser configurados para
escuchar solicitudes UPnP de redes locales o interfaces
inalámbricas.
Mediante la utilización de plugins (complementos), que el
navegador ejecuta en el contexto del sistema local, un
atacante puede llegar a enviar mensajes UPnP a dispositivos
locales, sin necesidad de autenticación.
Un investigador ha demostrado un vector de ataque que utiliza
el plugin de Flash que los navegadores emplean para
visualizar animaciones en dicho formato.
De todos modos, es importante destacar que para que la acción
tenga éxito, el atacante tiene que conocer la dirección IP
del dispositivo afectado. En muchas ocasiones, ésta dirección
puede ser obtenida a través de la información aportada por
los propios navegadores u otros métodos.
En este caso, basta convencer a la víctima para que haga clic
en un enlace en un documento HTML (página web o correo
electrónico), para que el atacante pueda tener acceso vía
UPnP a la configuración de cualquier dispositivo afectado, y
pueda llegar a ejecutar diversos comandos.
Si el dispositivo afectado actúa como servicio de router o
firewall, el atacante podrá modificar todas las reglas y
filtros implementadas, alterar la configuración DNS, cambiar
las claves encriptadas de las comunicaciones inalámbricas o
colocar sus propias contraseñas.
Al momento actual, no existe una solución práctica para este
problema, pero se aconseja deshabilitar UPnP en cualquier
dispositivo conectado a Internet, o con acceso a redes no
confiables.
Desactivar UPnP en sistemas como Windows XP, puede impedir
que un atacante explote esta vulnerabilidad. La información
para hacer esto, está en el boletín MS07-019 de Microsoft.
La utilización de NoScript en Mozilla Firefox, también puede
minimizar el riesgo.
Filtrar en el cortafuego los puertos UDP 1900 y TCP 2869,
tanto de entrada como de salida, puede bloquear las
solicitudes UPnP.
El cortafuego de Windows Vista bloquea UPnP por defecto.
Tenga en cuenta de todos modos, que estas soluciones pueden
no prevenir de forma total la explotación de esta
vulnerabilidad.
El US-CERT publicó la siguiente lista de vendedores y
fabricantes, cuyos productos se supone son vulnerables, pero
muchos otros podrían serlo.
3com, Inc.
Alcatel
Apple Computer, Inc.
AT&T
Avaya, Inc.
Avici Systems, Inc.
Borderware Technologies
Bro
CentOS
Charlotte's Web Networks
Check Point Software Technologies
Cisco Systems, Inc.
Clavister
Computer Associates
Computer Associates eTrust Security Management
Conectiva Inc.
Cray Inc.
D-Link Systems, Inc.
Data Connection, Ltd.
Debian GNU/Linux
EMC Corporation
Engarde Secure Linux
Enterasys Networks
Ericsson
eSoft, Inc.
Extreme Networks
F5 Networks, Inc.
Fedora Project
Force10 Networks, Inc.
Fortinet, Inc.
Foundry Networks, Inc.
FreeBSD, Inc.
Fujitsu
Gentoo Linux
Global Technology Associates
Hewlett-Packard Company
Hitachi
Hyperchip
IBM Corporation
IBM Corporation (zseries)
IBM eServer
Ingrian Networks, Inc.
Intel Corporation
Internet Security Systems, Inc.
Intoto
IP Filter
Juniper Networks, Inc.
Linksys (A division of Cisco Systems)
Lucent Technologies
Luminous Networks
m0n0wall
Mandriva, Inc.
McAfee
Microsoft Corporation
MontaVista Software, Inc.
Multinet (owned Process Software Corporation)
Multitech, Inc.
NEC Corporation
NetBSD
netfilter
Netgear, Inc.
Network Appliance, Inc.
NextHop Technologies, Inc.
Nokia
Nortel Networks, Inc.
Novell, Inc.
OpenBSD
Openwall GNU/*/Linux
QNX, Software Systems, Inc.
RadWare, Inc.
Red Hat, Inc.
Redback Networks, Inc.
Riverstone Networks, Inc.
Secure Computing Network Security Division
Secureworx, Inc.
Silicon Graphics, Inc.
Slackware Linux Inc.
SmoothWall
Snort
Sony Corporation
Sourcefire
Stonesoft
Sun Microsystems, Inc.
SUSE Linux
Symantec, Inc.
The SCO Group
TippingPoint, Technologies, Inc.
Trustix Secure Linux
Turbolinux
Ubuntu
Unisys
Watchguard Technologies, Inc.
Wind River Systems, Inc.
ZyXEL
* Más información:
Vulnerability Note VU#347812
UPnP enabled by default in multiple devices
http://www.kb.cert.org/vuls/id/347812
Hacking The Interwebs
http://www.gnucitizen.org/blog/hacking-the-interwebs
MS07-019 Vulnerabilidad en UPnP (931261)
http://www.vsantivirus.com/vulms07-019.htm
* Relacionados:
Escalada de privilegios en Windows XP (SSDP y UPnP)
http://www.vsantivirus.com/vul-windows-upnp-ssdp-020206.htm
Que hay de nuevo en Service Pack 2 para Windows XP
http://www.vsantivirus.com/windowsxp-sp2.htm
* Créditos:
GNUCITIZEN
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Mantenga actualizado su programa antivirus. De poco vale
tener un antivirus si no lo mantenemos actualizado con los
upgrades, updates o add-ons correspondientes. De todos modos,
hoy en día las actualizaciones de la mayoría de los
fabricantes son diarias y automáticas. Si tiene un producto
que no se actualiza automáticamente, piense seriamente en
cambiarlo.
2) No abra ningún mensaje ni archivo recibido a través del
correo electrónico, que no haya sido solicitado, sin importar
su remitente. Tampoco haga clic en enlaces sugeridos en
aquellos correos o mensajes instantáneos que no solicitó.
Ante cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Manténgase informado de cómo operan los virus, y de las
novedades sobre éstos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No descargue nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceda como con los
archivos adjuntos. Cópielos a una carpeta y revíselos con su
antivirus debidamente actualizado, antes de optar por
ejecutarlos o abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.
_____________________________________________________________
Video Soft es una empresa privada que desde hace más de 10
años se dedica a la seguridad informática, siendo líder en el
tema a través de su portal VSAntivirus, el cuál es visitado
diariamente por decenas de miles de usuarios de habla hispana
en todo el mundo. Desde julio de 2004, Video Soft representa
en Uruguay al antivirus NOD32 (marca registrada de ESET). Más
información: http://www.eset.com.uy/
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
En memoria de mi amado padre (1914-2005)
_____________________________________________________________
VSantivirus No 2615 Año 11, miércoles 16 de enero de 2008
|
VSantivirus No 261
Responder a este mensaje
