TR-14-008 (Hatalı NAT-PMP Uygulamalarından Kaynaklanan Güvenlik Açığı)

Genel Bilgi

NAT-PMP, güvenilir bir yerel sunucu ile dış ağ arasındaki trafiği yönlendirmek amacıyla genellikle yönlendirici (router) gibi bir ağ adresi dönüştürme (NAT) cihazının kullanıldığı bir protokol olarak tanımlanmaktadır. RFC 6886, sayılı IETF dokümanına göre NAT ağ geçidinin dış IP adresine gelen veya dış ağ arayüzü aracılığıyla alınan port adresleme (port mapping) taleplerine cevap vermemesi gerekmektedir. Buna ilave olarak port mapping taleplerinin iç sunucunun kaynak adresine yönlendirilmesi gerekmektedir. NAT-PMP cihazların hatalı yapılandırma veya başka bir nedenle bu koşulları yerine getirmemesi durumunda, söz konusu cihazlar kötü amaçlı port adreslemelerine izin verebilmekte veya cihaz bilgilerinin açığa çıkmasına yol açabilmektedir.

Etki

Söz konusu güvenlik açıklığına yönelik bir siber saldırı sonucunda, saldırganlar tarafından NAT cihazı bilgilerinin ele geçirilmesi, cihazdaki port adreslemesinin manipüle edilmesi, iç ve özel trafik bilgileri ile servislere erişim sağlanması veya sunucu hizmetlerinin engellenmesi mümkün olabilmektedir.

Çözüm

Kullanılan cihazların tedarikçileriyle irtibata geçilerek, cihazların mevcut güvenlik açıklığından etkilenme durumunun öğrenilmesi ve NAT-PMP cihazlarında doğru yapılandırmaların kullanılması önem arz etmektedir. Ayrıca güvenlik duvarlarında, güvenilmeyen adreslerden port 5351/UDP’ye olan erişimlerin engellenmesini sağlayacak kurallar tanımlanması ile kullanımı zorunlu haller haricinde, cihazlar üzerinde NAT-PMP protokolünün pasif hale getirilmesi tavsiye edilmektedir.

Kaynaklar

• https://community.rapid7.com/community/metasploit/blog/2014/10/21/r7-2014-17-nat-pmp-implementation-and-configuration-vulnerabilities

• https://tools.ietf.org/html/rfc6886

• http://miniupnp.free.fr/

• https://github.com/miniupnp/miniupnp/commit/16389fda3c5313bffc83fb6594f5bb5872e37e5e

• https://github.com/miniupnp/miniupnp/commit/82604ec5d0a12e87cb5326ac2a34acda9f83e837

• http://www.kb.cert.org/vuls/id/184540

Kamuoyuna Saygıyla Duyurulur!...

2014-10-27