Come proteggere dalla ROM-0 tramite l'attivazione della porta?

5

Utilizzo un antivirus che mi dice che il mio router può essere compromesso con la vulnerabilità ROM-0.

Mi ha detto di usare "port forwarding" per ripararlo. Tuttavia, il mio router ha un "port triggering", che si dice sia un aggiornamento da "port forwarding"

Ho provato a cercare sul Web le esercitazioni per risolverlo, ma non sono riuscito a trovarlo (puoi trovare tantissime esercitazioni di port forwarding, ma quasi nessuna per l'attivazione delle porte).

Qualcuno può aiutarmi a risolvere la vulnerabilità? (anche come tutorial per le altre persone che hanno anche il port triggering)

Informazioni:

  • L'antivirus mi ha detto di fare 2 cose:

    • Inoltra la porta 80 sul router a un indirizzo IP non utilizzato sulla rete.
    • Inserisci la configurazione del tuo router e vai alla configurazione "Port forwarding".
    • Invia tutto il traffico http, di tutti i protocolli, per avviare e terminare la porta 80 in un indirizzo IP locale non utilizzato (qualcosa come 192.168.0.xxx, dove xxx sarebbe un IP non utilizzato).
  • Nel mio router, posso impostare una regola di attivazione delle porte che include queste aree:

    • Avvia corrispondenza porta
    • Porta corrispondenza finale
    • Protocollo di trigger (UDP, TCP o entrambi)
    • Avvia relate port
    • Termina porta di riferimento
    • Apri protocollo (UDP, TCP o entrambi)
    • Tipo NAT (in uscita o in entrata)
  • Router: D-link DIR-610 B1

  • Impossibile trovare informazioni in inglese per la documentazione (solo in portoghese): link

EDIT: ho davvero bisogno di conoscere il modello per correggere la vulnerabilità? Non esiste alcun tipo di correzione generale per i router?

[ed: questa è una copia di una domanda duplicata con lo stesso nome, ma questa è associata a un utente registrato]

    
posta ThatOldPencil 23.11.2015 - 16:57
fonte

1 risposta

1

Google suggerisce due vulnerabilità leggermente diverse quando viene interrogato su Rom-0, meglio esplicitato qui:

link

e qui:

link

In entrambi i casi ci sono una serie di motivi per cui il software antivirus in esecuzione su un laptop o desktop nella rete domestica potrebbe non essere corretto nel segnalare la presenza di questo problema con il router di casa. Se si sta utilizzando l'ultima versione del firmware del router e la data di pubblicazione della fine del 2015 o del 2016 è improbabile, è improbabile che questo problema venga riscontrato, indipendentemente da ciò che viene segnalato dal software antivirus.

Se questa vulnerabilità esiste comunque nel router, il metodo di sfruttamento comune coinvolge alcuni utenti malintenzionati su Internet che inviano una richiesta compromettente al router. Funziona SOLO se il tuo router è configurato per ascoltare richieste esterne, una funzione di configurazione solitamente chiamata "gestione remota". Assicurati che questa funzione sia disabilitata nel pannello di amministrazione del tuo router. Questa è la migliore soluzione per questo problema e per molti altri.

La mitigazione suggerita dal software antivirus, per supportare il port forwarding, è molto peggio che disabilitare la gestione remota. Anche in presenza di questa vulnerabilità e di qualche incapacità di disabilitare la gestione remota, l'efficacia del port forwarding da attacchi come questo dipende da specifici dettagli di implementazione del router. Potrebbe essere stato scoperto che era efficace per un particolare sapore della vulnerabilità ma che non garantisce che sarebbe efficace contro un altro. Ciò che fa il port forwarding è consentire a qualcuno al di fuori della rete di inviare traffico alla rete, che non è quasi mai una buona idea.

L'approccio migliore con un router che non ha firmware aggiornato e che non può disabilitare la gestione remota è quello di ottenere un altro router.

Infine, il port triggering è una funzione diversa rispetto al port forwarding e non può essere usato per simulare il port forwarding.

La semantica delle regole suggerite per il port forwarding è che le richieste provenienti dall'esterno della rete domestica che arrivano sulla porta 80 all'esterno del router dovrebbero essere "sinkholed" o inviate ad alcune destinazioni inesistenti all'interno della rete domestica - l'implicazione è che verranno inviati all'interno della rete anziché essere elaborati dal router (il che potrebbe portare allo sfruttamento del router). Come sopra, se questa mitigazione funzionerebbe o meno nella pratica dipende dai dettagli di implementazione del router. E ancora, una mitigazione molto più efficace è quella di disabilitare la gestione remota, che dice al router di non ascoltare affatto le richieste provenienti dalla rete.

La semantica del port triggering è che le richieste dall'interno della propria rete domestica che escono su una porta specifica attivano il router per aprire specifiche porte esterne e inoltrare richieste in ingresso su di esse alla macchina all'interno della rete da cui è originata la richiesta innescata.

L'attivazione della porta non viene attivata dalle richieste che arrivano dal router dall'esterno e l'effetto dell'apertura di porte esterne e l'inoltro di richieste esterne nella macchina all'interno della rete è l'opposto del sinkholing.

L'unico caso d'uso per l'innesco della porta è il gioco, in cui un tipo specifico di richiesta in uscita informa il router che un gioco sta iniziando, quindi il traffico in entrata associato al gioco deve essere trasmesso alla macchina da gioco.

    
risposta data 05.08.2016 - 03:56
fonte

Leggi altre domande sui tag