Использование UPnP

общение NOTIFY на адрес многоадресной рассылки 239.255.255.250 на UDP-порт 1900. Сообщение, которое следует за ним, похоже на со- общение, отправленное в ответ на активное обнаружение:

NOTIFY * HTTP/1.1\r\n

HOST: 239.255.255.250:1900\r\n

CACHE-CONTROL: max-age=60\r\n

LOCATION: http://192.168.10.254:5000/rootDesc.xml\r\n

SERVER: OpenWRT/18.06-SNAPSHOT UPnP/1.1 MiniUPnPd/2.1\r\n

NT: urn:schemas-upnp-org:service:WANIPConnection:2\r\n

Любой заинтересованный участник сети может прослушать эти со- общения об обнаружении и отправитьсообщение с описанием служб. НауровнеописанияучастникиUPnPузнаютбольшеобустройстве,его возможностях и способах взаимодействия с ним. Описание каждого профиля UPnP упоминаетсялибо в значении поля LOCATION ответного сообщения,полученного во время активного обнаружения,либо в со- общенииNOTIFY,полученномвовремяпассивногообнаружения.Поле LOCATION содержит URL-адрес, который указывает на файл описания XML,состоящий из URL-адресов,используемых на этапах управления и обработки событий (описано ниже).

Уровень управления, вероятно, самый важный; он позволяет кли- ентам отправлять команды на устройство UPnP, используя URL-ад­ реса­ из файла описания. Они могут сделать это с помощью простого протокола доступа к объектам (Simple Object Access Protocol, SOAP) –

протокола обмена сообщениями, который использует XML поверх HTTP. Устройства отправляют запросы SOAP к конечной точке controlURL,описанной втеге <service> внутри­ файла описания.Тег<service> выглядиттак:

<service> <serviceType>urn:schemas-upnp-org:service:WANIPConnection:2</serviceType>

<serviceId>urn:upnp-org:serviceId:WANIPConn1</serviceId> <SCPDURL>/WANIPCn.xml</SCPDURL>

 <controlURL>/ctl/IPConn</controlURL>

<eventSubURL>/evt/IPConn</eventSubURL>

</service>

Вы можете увидеть controlURL . Уровень событий уведомляет клиентов, что они подписались на определенный eventURL , также описанный в служебном теге внутри­ XML-файла описания. Эти URLадреса событий связаны с конкретными переменными состояния (также включенными в XML-файл описания), которые моделируют состояние службы во время выполнения. Мы не будем использовать переменные состояния в этом разделе.

Использование сети с нулевой конфигурацией  153

состояния, например в интерфейсе вебкамеры или маршрутизатора с поддержкой UPnP.

Распространенные уязвимости UPnP

UPnP имеет долгую историю реализации с ошибками и недостатка- ми.Прежде всего,поскольку UPnP был разработандля использования внутри­ локальных сетей, в протоколе нет аутентификации; следова- тельно,любой человек в сети можетвоспользоваться им во вредонос- ных целях.

Стеки UPnP известны плохой проверкой ввода, что приводит к недостаткам, таким как ошибка валидации NewInternalClient. Эта ошибка позволяет использовать любой тип IP-адреса, внутренний или внешний, для поля NewInternalClient в правилах переадресации портов устройства. Это означает, что злоумышленник может превра- тить уязвимый маршрутизатор в прокси.Например,представьте,что вы добавляете правило переадресации портов, которое устанавли-

вает NewInternalClient на IP-адрес sock-raw.org, NewInternalPort на

TCP-порт 80 и NewExternalPort на 6666. Затем, обращаясь по внеш- нему IP-адресу маршрутизатора на порту 6666, вы должны заставить маршрутизатор обращаться к веб-серверу sock-raw.org без отображе- ния вашего IP-адреса в журналах цели. В следующем разделе мы рас- смотрим вариант этой атаки.

В то же время стеки UPnP иногда содержат ошибки повреждения памяти,которые могут привести к удаленным атакам отказа в обслу- живании в лучшем случае и удаленному выполнению кода – в худ- шем. Например, злоумышленники обнаружили устройства, которые используют запросы SQL для обновления своих правил в памяти, од- новременно принимая новые правила через UPnP, что делает их уязвимыми для атак с использованием SQL-инъекций. Кроме того, поскольку UPnP полагается на XML, слабо настроенные механизмы анализа XML с нулевой конфигурацией могут стать жертвой атак на внешние объекты (External Entity, XXE). В этих атаках механизм обра- батывает потенциально вредоносные входные данные, содержащие ссылки на внешний объект, раскрывающие конфиденциальную ин- формацию или вызывающие другие воздействия на систему.Что еще хуже,спецификация не одобряет,но и не запрещаетполностью UPnP на интерфейсах WAN с выходом в интернет.Даже если некоторые по- ставщики следуют рекомендациям, ошибки в реализации часто по- зволяют пропускать запросы WAN.

И последнее, но не менее важное: устройства часто не регистри- руют запросы UPnP, что означает, что у пользователя нет возможно- сти узнать, вмешивается ли в его работу злоумышленник. Даже если устройствоподдерживаетведениежурналаUPnP,журналобычнохра- нится на стороне клиента на устройстве и не имеет настраиваемых параметров через его пользовательский интерфейс.

Давайте выполним,пожалуй,наиболее распространенную атаку про- тив UPnP: создание лазеек в файрволе. Другими словами, эта атака добавит или изменит правило в конфигурации файрвола,которое от- крывает доступ к защищенной в противном случае сетевой службе. Поступаятакимобразом,мыпройдемсяпоразличнымуровнямUPnP и сможем лучше понять, как работает протокол.

Как работаетатака

Этаатаканафайрволопираетсянасуществующиепоумолчаниюраз- решения интернет-протокола шлюзового устройства (Internet Gate- way Device, IGD), реализованного через UPnP. IGD сопоставляет порты в настройках преобразования сетевых адресов (NAT).

Почти каждый домашний маршрутизатор использует NAT – систе- му, которая позволяет нескольким устройствам использовать один и тот же внешний IP-адрес путем переназначения IP-адреса на адрес частной сети.Внешний IP-адрес обычно представляет собой общедо- ступный адрес, который ваш интернет-провайдер назначает вашему модему или маршрутизатору. Частные IP-адреса могут быть любыми изстандартногодиапазонаRFC1918:10.0.0.0–10.255.255.255(классA), 172.16.0.0 – 172.31.255.255 (класс B) или 192.168.0.0 – 192.168.255.255 (класс C).

Хотя NAT удобен для домашних решений и сохраняет адресное пространство IPv4,у него есть некоторые проблемы с гибкостью.На- пример, что происходит, когда приложения, такие как клиенты Bit- Torrent,нуждаются в подключении к внешним системам через опре- деленный общедоступный порт, но они находятся за устройством NAT? Если только этот порт не отображается устройством напрямую в интернет,одноранговый узел не можетк нему подключиться.Одно из решений–попросить пользователя вручную настроить переадре- сацию портов на своем маршрутизаторе. Но это было бы неудобно, особенно если бы порт приходилось менять при каждом подключе- нии. Кроме того, если порт был статически задан в настройках пе- реадресации портов маршрутизатора, любое другое приложение, которое нуждалось бы в использовании этого конкретного порта, не могло бы этого сделать. Причина в том, что сопоставление внеш- него порта уже связано с определенным внутренним портом и IP- адресом–следовательно,его придется перенастраиватьдля каждого соединения.

ВотгденапомощьприходитIGD.IGDпозволяетприложениюдина- мически добавлять временное сопоставление портов на маршрути- заторе на определенный период времени. Это решает обе проблемы: пользователям не нужно вручную настраивать переадресацию пор- тов, и это позволяет изменять порт для каждого соединения.

Но злоумышленники могут злоупотреблять IGD в небезопасных настройках UPnP. Обычно системы, расположенные за устройством NAT должны иметь возможность выполнять переадресацию пор-

сопоставления портов для других систем. Это позволяет злоумыш- ленникам в сети совершать злонамеренные действия, например от- крывать доступ к интерфейсу администрирования маршрутизатора в интернет.

Настройка тестового сервера UPnP

Начнем с настройки MiniUPnP, облегченной реализации сервера IGD UPnP, на образе OpenWrt, чтобы у нас был сервер UPnP для атаки. OpenWrt–это операционная система на основе Linux с открытым ис- ходным кодом, предназначенная для встроенных устройств; исполь- зуется в основном для сетевых маршрутизаторов. Вы можете пропу- стить этот раздел настройки, если загрузите уязвимую виртуальную машину OpenWrt со страницы https://nostarch.com/practical-iot-hacking/.

Описание процедуры настройки OpenWrt выходит за рамки этой книги, но вы можете найти руководство по ее настройке на https:// openwrt.org/docs/guide-user/virtualization/vmware. Преобразуйте образ

OpenWr/18.06 в совместимый с VMware образ и запустите его с по- мощью рабочей станции или плеера VMware в локальной лаборатор- ной сети. Вы можете найти моментальный снимок x86, который мы использовали для версии OpenWrt 18.06, по адресу https://downloads. openwrt.org/releases/18.06.4/targets/x86/generic/.

Затем настройте конфигурацию сети, что особенно важно, что- бы наглядно продемонстрировать атаку. Мы настроили два сетевых адаптера в настройках виртуальной машины:

zzадаптер, подключенный к локальной сети и соответствующий eth0 (интерфейс LAN).В нашем случае мы статически настроили еготак,чтобыонимелIP-адрес192.168.10.254,соответствующий нашей локальной сетевой лаборатории. Мы настроили IP-адрес, вручную отредактировав /etc/network/config – файл нашей вир- туальной машины OpenWrt.Настройте его в соответствии с кон- фигурацией вашей локальной сети;

zzадаптер, который настроен как интерфейс NAT VMware и соот- ветствует eth1 (интерфейс WAN). Ему автоматически был назна- чен IP-адрес 192.168.92.148 через DHCP.Он имитирует внешний, или PPP, интерфейс маршрутизатора, который будет подключен к провайдеру интернет-услуг и будет иметь общедоступный IPадрес.

Если вы не использовали VMware ранее, воспользуйтесь руковод- ством, доступным на странице https://www.vmware.com/support/ws45/ doc/network_configure_ws.html: оно поможет вам настроить дополни-

тельные сетевые интерфейсы для вашей виртуальной машины. Хотя там упоминается версия 4.5, инструкции применимы для каждой со- временной реализации VMware. Если вы используете VMware Fusion в macOS, вам может помочь руководство,доступное на https://docs.vm-

сетевой адаптер и измените его настройки на NAT (в Fusion это назы- ваетсяShare with My Mac),азатемизменитепервыйсетевойадаптер на Bridged (режим моста, в Fusion называется Bridged Networking).

ВыможетенастроитьпараметрыVMwareтакимобразом,чтобыре- жим моста применялся только к адаптеру, который фактически под- ключен к вашей локальной сети. Поскольку у вас два адаптера, функ- ция автоматического моста VMware может попытаться организовать мост через адаптер, который не подключен. Обычно используется один адаптер Ethernet и один адаптер Wi-Fi,поэтому тщательно про- верьте, какой из них подключен к какой сети.

Теперь сетевые интерфейсы являются частью виртуальной маши- ны OpenWrt.Файл /etc/config/network должен выглядетьпримернотак:

config interface 'lan' option ifname 'eth0' option proto 'static'

option ipaddr '192.168.10.254' option netmask '255.255.255.0' option ip6assign '60'

option gateway '192.168.10.1'

config interface 'wan' option ifname 'eth1' option proto 'dhcp'

config interface 'wan6' option ifname 'eth1' option proto 'dhcpv6'

Убедитесь,что ваш OpenWrt имеет подключение к интернету,а за- тем введите в оболочке следующую команду, чтобы установить сер-

вер MiniUPnP и luci-app-upnp.Пакет luci-app-upnp позволяет настра-

ивать и отображать параметры UPnP через Luci, веб-интерфейс по умолчанию для OpenWrt:

# opkg update && opkg install miniupnpd luci-app-upnp

Затем нам нужно настроить MiniUPnPd. Введите следующую ко- манду, чтобы отредактировать файл с помощью Vim (или используй- те текстовый редактор по вашему выбору):

# vim /etc/init.d/miniupnpd

Прокрутите вниз до того места, где строка config_load "upnpd" встречается второй раз (в MiniUPnP версии 2.1-1 это строка 134). Из- мените настройки следующим образом:

bin/luci/admin/status/iptables/ и нажав Restart Firewall (Перезапустить файрвол) или введя следующую команду в терминал:

# /etc/init.d/firewall restart

ТекущиеверсииOpenWrtболеебезопасны,имынамеренноделаем этот сервер небезопасным для целей нашего упражнения. Тем не ме- нее бесчисленное множестводоступных продуктов IoT по умолчанию настроено именно таким образом.

Устраиваем лазейки в файрволе

Настроив нашу тестовую среду, попробуем атаковать файрвол, зло- употребляя службой IGD. Мы будем использовать подпрофиль WANIPConnection IGD, который поддерживает действия AddPortMapping и DeletePortMapping для добавления и удаления сопоставлений пор-

тов Exploiting Zero-Configuration Networking 125 соответственно. Мы будем использовать команду AddPortMapping инструментом тестиро- вания UPnP Miranda, который предустановлен в Kali Linux. Если у вас нет предустановленного инструмента Miranda, вы всегда можете по-

лучить его по адресу https://github.com/0x90/miranda-upnp/ – обратите внимание, что для его запуска вам понадобится Python 2. В листин- ге 6.1 Miranda используетсядля проникновения через файрвол уязви- мого роутера OpenWrt.