Post on 11-Feb-2017
Universal Pwn n Play
Martin Zeiser - Cisco Talos ResearcherAleksandar Nikolić - Cisco Talos Researcher
www.talosintel.com
アジェンダ
●UPnP 概要
●UPnPの攻撃
●インターネット上でのUPnPデバイスの探索
●クライアントサイドの脆弱性 - 新しいUPnPの脅威
●防御
●まとめ
UPnPの概要
Universal Plug and Play(UPnP)とは?
● コンピュータやプリンタ、ルータやカメラなどのデバイスが相互にお互いの存在を発見し、データ共有やコミュニケーション、エンターテイメントのためのネットワークを確立することを可能にするプロトコルのセット
● UPnPの背景にある主な目的は、エンタープライズクラスのデバイスが存在しない家庭向けネットワークを対象としている
● UPnPフォーラム(Microsoft)によって1999年に設計された
● SSDP, HTTP, SOAPおよびXMLを組み合わせて機能している
どのように機能するのか?
•アドレッシング•ディスカバリ•デスクリプション•コントロール•イベント通知•プレゼンテーション
通信 - デバイスの検索
通信 - リプレイ
HTTP/1.1 200 OK
LOCATION: http://192.168.1.1:49000/igddesc.xml
SERVER: FRITZ!Box WLAN 3170 UPnP/1.0 AVM FRITZ!Box WLAN 3170 49.04.58
CACHE-CONTROL: max-age=1800
EXT:
ST: urn:schemas-upnp-org:device:InternetGatewayDevice:1
USN:
uuid:75802409-bccb-40e7-8e6c-001F3FE45B43::urn:schemas-upnp-
org:device:InternetGatewayDevice:1
通信HTTPステージ
HTTPリクエスト
指定されたサーバへのTCP/HTTP
指定されたXMLファイルの取得
•様々なタイプのデバイス (IGD以外のものも):
•IGD (Internet Gateway Device)
•AV (DLNAとして有名なメディアサーバやメディアレンダラ)
•HVAC (Heating / Ventilation / Air conditioning)
•その他
HTTP/1.0 200 OK
Content-Type: text/xml
Connection: close
Content-Length: 2669
Server: MMC_Tech AP miniupnpd/1.0 UPnP/1.0
<?xml version="1.0"?>
<root xmlns="urn:schemas-upnp-org:device-1-0">
<specVersion>
<major>1</major>
<minor>0</minor>
</specVersion>
<device>
<deviceType>urn:schemas-upnp-org:device:InternetGatewayDevice:1
</deviceType>
<friendlyName>Inter Gateway Device</friendlyName>
<manufacturer>MMC Technology</manufacturer>
<manufacturerURL>http://www.mmctech.com/</manufacturerURL>
<modelName>MW-2060AP</modelName>
<modelDescription>MMC Technology (MW-
2060AP)</modelDescription>
<modelNumber>2.2.7</modelNumber>
<modelURL>http://www.mmctech.com/</modelURL>
<UDN>uuid:12342409-1234-1234-5678-ee1234cc5678</UDN>
<serviceList>
<service>
<serviceType>urn:schemas-dummy-
com:service:Dummy:1</serviceType>
<serviceId>urn:dummy-com:serviceId:dummy1</serviceId>
<controlURL>/dummy</controlURL>
<eventSubURL>/dummy</eventSubURL>
<SCPDURL>/dummy.xml</SCPDURL>
</service>
</serviceList>
<deviceList>
<device>
<deviceType>urn:schemas-upnp-
org:device:WANDevice:1</deviceType>
<friendlyName>WANDevice</friendlyName>
<manufacturer>miniupnp</manufacturer>
<manufacturerURL>http://www.mmctech.com/</manufacturerURL
>
<modelDescription>WAN Device</modelDescription>
<modelName>WAN Device</modelName>
<modelNumber>1</modelNumber>
<modelURL>http://www.mmctech.com/</modelURL>
<serialNumber>00000000</serialNumber>
<UDN>uuid:12342409-1234-1234-5678-ee1234cc
興味深い情報
<deviceType> urn:schemas-upnp-org:device:InternetGatewayDevice:1
<friendlyName> Residential Gateway Device
<manufacturer> Linksys Inc.
<modelDescription> Internet Access Server
<modelName> WRT54GS
<modelNumber> v2.07.1
UPnPの攻撃
攻撃 #1 - DDoS
攻撃 #2 - DNS設定の変更
攻撃 #3 - PPPユーザー名とパスワードのリクエスト
PPPパスワードのリクエスト - UPnPスタイル #1
PPPパスワードのリクエスト - UPnPスタイル #2
攻撃 #4 - Adminパスワードのリセット/変更
攻撃 #5外部からのポート転送リクエスト
デバイスからのポート転送のリクエストPOST /evt/IPConn HTTP/1.1
Host: 192.168.0.1:53033
User-Agent: KTorrent/0.0.0
Content-length: 633
Content-Type: text/xml
SOAPAction: "urn:schemas-upnp-org:service:WANIPConnection:1#AddPortMapping"
<?xml version="1.0"?><SOAP-ENV:Envelope xmlns:SOAP-
ENV="http://schemas.xmlsoap.org/soap/envelope/" SOAP-
ENV:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/"><SOAP-ENV:Body><m:AddPortMapping
xmlns:m="urn:schemas-upnp-
org:service:WANIPConnection:1"><NewRemoteHost></NewRemoteHost><NewExternalPort>25000</NewEx
ternalPort><NewProtocol>TCP</NewProtocol><NewInternalPort>80</NewInternalPort><NewInternalClien
t>192.168.0.1</NewInternalClient><NewEnabled>1</NewEnabled><NewPortMappingDescription>KTorrent
UPNP</NewPortMappingDescription><NewLeaseDuration>60</NewLeaseDuration></m:AddPortMapping><
/SOAP-ENV:Body></SOAP-ENV:Envelope>
ポート転送のセキュリティ問題:
通常、TCPとUDP両方のカスタムのタイムアウト設定には
ロギングは機能しない
インターネット上のUPnPデバイスの探索
HD Mooreのスキャン
HD Moore / Rapid7 / 2012年後半
○ インターネットからのUPnP探索のリクエストに対して8000万以上のユニークなIPアドレスからの応答を確認した(インターネット上の2.2%)
○ 6900以上の製品バージョンがUPnPに対して脆弱であると確認
○ リストには1500を超えるベンダーが含まれ、UPnP SOAPサービスをインターネット上に公開しているデバイスを考慮するものであった
UPnPのスキャン
● ポート1900上のUDPバナースキャンによってUPnP
デバイスを発見し、公開XMLへのアクセスを試みる
● これはユニキャストのリクエストである。Microsoft Windowsはこれらには応答しない(WinXPとWin7でテスト)
● UDPポート1900が閉じている/フィルターされていることは、UPnP未サポートであるとは限らない
使われているソフトウェア
“SSDPを通じて検出された全UPnPインスタンスの73%以上が、たった4種類のソフトウェア開発キットに由来するものであった。
これらにはPortable SDK for UPnP Devices、MiniUPnP、Broadcomが開発しているような商用スタック、そして他の特定の開発者による別の商用スタックが含まれている。”
HD MooreRapid7
クライアントサイドの脆弱性新しいUPnPの脅威
Notifyパケット
NOTIFY * HTTP/1.1
HOST: 239.255.255.250:1900
LOCATION: http://210.20.30.40:54321/igddesc.xml
SERVER: FRITZ!Box WLAN 3170 UPnP/1.0 AVM FRITZ!Box WLAN 3170
49.04.58
CACHE-CONTROL: max-age=1800
NT: upnp:rootdevice
NTS: ssdp:alive
USN: uuid:75802409-bccb-40e7-8e6c-001F3FE45B43::upnp:rootdevice
Notifyの脅威 -クライアントをおかしくさせる
•ローカルまたはリモートホストへのHTTP攻撃リクエストの送信
•DoSリクエスト
•'Click 詐欺'広告
•悪意のある可能性のあるXMLのパース
インターネットから見えるUser Agents
USER-AGENT: Linux/2.6.23.17_stm23_0119-mb680, UPnP/1.0, Portable SDK for
UPnP devices/1.6.6
USER-AGENT: Linux/2.6.30, UPnP/1.0, Portable SDK for UPnP devices/1.6.18
User-Agent: UPnP/1.0 DLNADOC/1.50 Platinum/1.0.4.9
(NAS)
User-Agent: SMCD3G-CCR, UPnP/1.0, MiniUPnPd/20130201
(Business Gateway)
クライアントアプリケーションの攻撃
• クライアントは実際にはUPnPサーバを使用
• ポート転送 - 多くの場合
• 基本的には、あらゆるpeer2peerなど:
– Torrent クライアント
– 暗号通貨のクライアント/サーバ
– …
クライアントアプリケーションについては?
• クライアントによる探索 - 通常はスタートアップ時
• ブロードキャストIP上
• ローカルサーバはデスクリプションのアドレスを応答
• クライアントはデスクリプションをフェッチ
どのように? SSDP M-SEARCH *!
見てみよう 1/3
クライアントアプリがブロードキャストアドレスにM-SEARHリクエストを送信している
見てみよう 2/3
サーバがデスクリプションのアドレスを応答
見てみよう 3/3
クライアントはデスクリプションに対しGETを発行
• 前述のNOTIFYと同様
• クライアントはデスクリプションのXMLをフェッチ
• 攻撃にXMLパーサが晒される
• 楽しい事実: たいていの(全て)upnpライブラリは独自のXMLパーサを内蔵している– 素敵! 組込みシステム向けに、依存性が少ない
– 素敵! 攻撃者にコードを読まれることが少ない
• 見てみよう!
攻撃面
• MiniUPnPクライアント –UPnP IGDコントロールポイント
– http://miniupnp.free.fr/
– 小さく軽量で自己完結型のライブラリ
– “Linux, FreeBSD, OpenBSD, MacOS X, AmigaOSそしてcygwinでコンパイルできることが知られています”
• 既出の通り、2番目に人気のあるサーバサイドライブラリ
• クライアントとしてはどうなの?
MiniUPnPC
ハイライト
*最近まで
トランスミッションビットコイン
Torの場合
7月以前
7月以降
デフォルトでは使用されていなかったが、よい決定
• XMLパーサにおけるバッファオーバーフロー
• サーバからフェッチしたデスクリプションXMLのパースがトリガーとなる
• 10月1日にパッチ提供
• TALOS-CAN-0035 - CVE 2015-6031
MiniUPnPの脆弱性
MiniUPnPCの脆弱性
parser.xmlstart = buffer;
parser.xmlsize = bufsize;
parser.data = data;
parser.starteltfunc = IGDstartelt;
parser.endeltfunc = IGDendelt;
parser.datafunc = IGDdata;
parser.attfunc = 0;
parsexml(&parser);
データバッファとコールバックを設定し、パーサを呼び出す
MiniUPnPC脆弱性
struct IGDdatas {
char cureltname[MINIUPNPC_URL_MAXSIZE];
char urlbase[MINIUPNPC_URL_MAXSIZE];
char presentationurl[MINIUPNPC_URL_MAXSIZE];
.....
};
IGDdatasは固定サイズのバッファを持つ構造体。MINIUPNPC_URL_MAXSIZE は 256。
MiniUPnPC脆弱性
void IGDstartelt(void * d, const char * name, int
l)
{
struct IGDdatas * datas = (struct IGDdatas *)d;
memcpy( datas->cureltname, name, l);
datas->cureltname[l] = '¥0';
datas->level++;
if( (l==7) && !memcmp(name, "service", l) ) {
datas->tmp.controlurl[0] = '¥0';
datas->tmp.eventsuburl[0] = '¥0';
datas->tmp.scpdurl[0] = '¥0';
datas->tmp.servicetype[0] = '¥0';
}
}
要素の名前のパース時に、確認なしのmemcpy()がバッファオーバーフローを引き起こしている
• (ニセの)サーバをLAN上で動作
• 被害者がアプリケーションを開始
• アプリケーションは探索のためのM-SEARCHを発行
• サーバはURLを応答
• アプリケーションはXMLをフェッチしパースを開始…
• Pwn3d!
攻撃方法
DEMO
bitcoindは恰好の標的…
防御
Snortのルール
1917: M-Search to UDP 1900
10475: Microsoft Windows UPnP notification type overflow attempt
1388: Microsoft Windows UPnP Location overflow attempt
25780: MiniUPnPd ExecuteSoapAction buffer overflow attempt
防御
•原則 - WANインタフェース上でUPnPトラフィックをlistenしない
•ポート転送のリクエストは自身へのみ許可し、サードパーティへは禁止する
•パッチの適用。しかし誰がホームルータや組み込みデバイスのパッチを現実には適用する?
まとめ
Thank you !
51
www.talosintel.com