Уязвимость порта 111 севера rpcbind

В 2015 году Управление информационной безопасности (ISO) обратилось к ИТ-сообществу с просьбой настроить системы таким образом, чтобы их средства отображения портов portmapper (также известные как rpcbind) не были представлены в интернете в открытом доступе или не требовали аутентификации для доступа. Вот описание RPC portmapper и проблем, связанных с его использованием и плана действий, касающихся систем, работающих со средствами отображения портов в интернете.

 

Cредство отображения портов Portmapper - это служба RPC, которая всегда прослушивает TCP и UDP 111 и используется для сопоставления других служб RPC (таких как nfs, nlockmgr, quotad, mountd и т. д.) c соответствующим номером порта на сервере. Когда удаленный хост выполняет RPC-вызов для этого сервера, он сначала обращается к portmap, чтобы определить, где RPC-сервер прослушивает.

 

Небольшой запрос portmapper (~ 82 байта через UDP), генерирует большой отклик (усиление от х7 до х28), что делает его инструментом для амлификации для DDoS-атак, особенно с учетом его распространенности практически во всех современных системах Unix.

 

Если брандмауэр не используется, то для того, чтобы предотвратить нежелательный публичный доступ к этой службе, нужно добавить в белый список хосты, которым требуется связь с portmapper на вашем сервере (например, NFS-клиентами), в файл hosts.allow, и запретить ALL: ALL в файле hosts.deny для службы portmap.

 

Информацию о настройках конфигурации этих файлов можно найти здесь. Вы можете проверить свои настройки конфигурации, запустив rpcinfo-p-T udp 1.2.3.4 из неавторизованной системы. Обратите внимание, что нет конкретной уязвимости Selfscan, которая укажет на то, что карта порта запущена. Если ваш ресурс является *nix системой/встроенным устройством, можно с уверенностью предположить, что это так.

 

Если система является встроенным устройством или принтером и не поддерживает TCP-оболочки, его следует переместить в частное адресное пространство. Системы в частном адресном пространстве не подвергаются данной атаке.

 

С 2015 года Управление информационной безопасности (ISO) объявила превентивный карантин для систем с RPC portmapper, осуществляющих открытый выход в интернет. Эти системы включают в себя принтеры и компьютеры Windows. Владельцам и администраторам настоятельно рекомендуется переместить принтеры в узлы, находящиеся в локальной компьютерной сети для принтеров, и настроить межсетевые экраны или оболочки TCP для систем, которые должны оставаться общедоступными, чтобы устранить уязвимость средств отображения портов portmapper.