FTP-NAT - Auswertung
Wie gefährlich ist diese Lücke?
Die Lücke sorgt dafür, daß jeder, der Sie dazu bringen kann, seine Webseite zu besuchen, den Schutz, den ein NAT-Router bieten sollte, unterlaufen kann. Dazu genügt es auch, wenn Teile der Webseite woanders eingebunden werden - z.B. bei Anzeigebannern in FRAMEs, IFRAMES oder inline-Bannern.Die Lücke ist damit ähnlich gefährlich wie die WMF-Lücke vom Dezember 2005. Man benötigt zwar Benutzerinteraktion (Besuchen einer Website - eine vollautomatische Verbreitung wie bei Blaster geht nicht), aber der Benutzer hat in der Regel keinerlei Hinweis auf verdächtige Aktivitäten.
Was kann ich tun?
- Schließen Sie die offenen Ports, wenn Sie sie nicht benötigen.
www.ntsvcfg.de und www.dingens.org bieten Werkzeuge und Informationen an, wie man das auf Windows erreichen kann.
Falls Sie Unix verwenden, benötigen Sie vermutlich keine Anleitung. - Schalten Sie den active-FTP-NAT-helper ab, falls Ihr Router eine solche Option besitzt.
- Verwenden Sie die Paketfilterkomponente
(Firewall) Ihres Gerätes,
um den Zugriff zu den Ports, die benötigte interne Dienste tragen,
zu regulieren.
Bitte beachten Sie, daß der Testserver seine Verbindungen mit Quellport 20 öffnet, wie es auch ein FTP-server tun würde.
Ein Angreifer könnte aber andere Ports verwenden. Also filtern Sie nicht auf dieses Kriterium. - Verwenden Sie einen lokalen Paketfilter, um den Zugriff auf die Ports zu regulieren.
- Schalten Sie Java ab, ebenso alle ähnlichen Plugins, die in der Lage
sein könnten, nicht vertrauenswürdigen Code auszuführen und
Netzwerkverbindungen zu öffnen. Auch wenn es sich nur um den
Server handelt, von dem das Applet kam.
Jedes solche System ist potentiell gefährlich.
Ich nehme an, daß zumindest Flash ebenfalls verwundbar sein sollte. Evtl. möchte ja jemand einen Test in Flash schreiben?Welche Geräte sind verwundbar?
Ich sammle die betroffenen Router, die mir Nutzer gemeldet haben in einer Geräteliste.
