Безопасно ли использовать протокол PPPoE в 2024 году?

Question

WSGlebKavash @WSGlebKavash

Информационная безопасность

Безопасно ли использовать протокол PPPoE в 2024 году?

В 2019 году с помощью уязвимости в реализации протокола PPPoE смогли получить доступ к памяти роутера Xiaomi AC2100 и дали возможность устанавливать кастомные прошивки. MiRom базируется на OpenWRT, который в свою очередь является дистрибутивом Linux.
Сравнительно недавно, используя уязвимость в реализации PPPoE, энтузиасты смогли запустить GoldHen на PS4. OrbisOS использует исходный код FreeBSD.
Получается, что мы имеем реальный RCE и у специализированных хакеров открывается ящик пондоры. Под угрозой большинство абонентов главного провайдера России. Насколько серьёзна данная проблема? Какие есть варианты защиты? Безопасно ли использовать PPPoE в 2024 году?

Вопрос задан 27 июн.
212 просмотров

3 комментария

Подписаться 1 Простой 3 комментария

Ziptar @Ziptar

Вообще не понимаю зачем они pppoe для авторизации используют. У билайна привязка через captive portal реализована, это намного и удобнее, и проще для конечного пользователя, и, по всей видимости, и безопаснее.

Написано 27 июн.
WSGlebKavash @WSGlebKavash Автор вопроса

Ziptar,
Вообще не понимаю зачем они pppoe для авторизации используют.
Вопросы с Ростелекому. Билайн раньше тоже L2TP использовал, но теперь перешли на удобный Captive Portal.

Написано 27 июн.
Everything_is_bad @Everything_is_bad

Получается, что мы имеем реальный RCE и у специализированных хакеров открывается ящик пондоры. Под угрозой большинство абонентов главного провайдера России.
а научись просто задавать вопрос, без привлечения своей фантазии

Написано 27 июн.

Пригласить эксперта

Ответы на вопрос 3

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Информационная безопасность

+1 ещё

Простой
Публикация файлов в интернете только после утверждения ИБ. Что использовать?
- 1 подписчик
- 15 нояб.
- 84 просмотра
1

ответ
Linux

+1 ещё

Простой
Какой дистрибутив выбрать для инфбеза?
- 1 подписчик
- 15 нояб.
- 1192 просмотра
8

ответов
Информационная безопасность

Простой
Как мошенники делают на Госуслугах красную табличку «Кабинет занят, с ним работает оператор» и как этому противодействовать?
- 1 подписчик
- 14 нояб.
- 363 просмотра
2

ответа
Ubuntu

+2 ещё

Простой
Хакнули сервер, как избавиться от майнеров?
- 2 подписчика
- 04 нояб.
- 502 просмотра
2

ответа
Linux

+1 ещё

Средний
Как сделать Linux более безопасным?
- 2 подписчика
- 28 окт.
- 889 просмотров
6

ответов
Информационная безопасность

+1 ещё

Средний
Обеспечивает ли HTTPS полное шифрование и невозможность компрометации данных?
- 4 подписчика
- 26 окт.
- 4878 просмотров
8

ответов
Компьютерные сети

+2 ещё

Простой
Заблокированные сайты свободно открываются без VPN — почему?
- 1 подписчик
- 24 окт.
- 21680 просмотров
7

ответов
Информационная безопасность

+1 ещё

Простой
Я хочу разделить хостинг который я буду арендовать между мной и другим человеком. Это нормально?
- 1 подписчик
- 16 окт.
- 345 просмотров
1

ответ
iOS

+1 ещё

Средний
Какой корректный формат смс сообщения для определения в нем OTP кода?
- 1 подписчик
- 15 окт.
- 125 просмотров
2

ответа
Java

+3 ещё

Простой
Как обновить lastAccessedTime Spring Session (Redis) при доступе через OAuth2?
- 1 подписчик
- 07 окт.
- 37 просмотров
0

ответов
Показать ещё Загружается…

Специалист по управлению уязвимостями (информационная безопасность)

Гринатом • Москва

от 100 000 до 120 000 ₽

Специалист отдела информационной безопасности

Cloud4Y • Ярославль

До 230 000 ₽

Руководитель направления информационной безопасности ОКИИ

Интер РАО – Управление сервисами • Санкт-Петербург

от 180 000 ₽

Телеграм бот

22 нояб. 2024, в 02:56

10000 руб./за проект

Перерисовать логотип в векторе

22 нояб. 2024, в 00:55

500 руб./за проект

Разработка алгоритма на python (Data engineering)

21 нояб. 2024, в 23:30

300000 руб./за проект

Вообще не понимаю зачем они pppoe для авторизации используют. У билайна привязка через captive portal реализована, это намного и удобнее, и проще для конечного пользователя, и, по всей видимости, и безопаснее.
Ziptar,
Вообще не понимаю зачем они pppoe для авторизации используют.
Вопросы с Ростелекому. Билайн раньше тоже L2TP использовал, но теперь перешли на удобный Captive Portal.
Получается, что мы имеем реальный RCE и у специализированных хакеров открывается ящик пондоры. Под угрозой большинство абонентов главного провайдера России.
а научись просто задавать вопрос, без привлечения своей фантазии

Answer 1 · 2024-06-27 15:33:01

Он же обычно работает в локалке, так что вполне безопасно.
То что эта локалка может быть скомпрометирована - уже вопросы к ровайдеру

Answer 2 · 2024-06-27 20:50:56

У провайдера самое слабое место - это немногочисленное оборудование агрегации, которое имеет белые адреса и смотрит "лицом" в интернет. Конечные коробки в виде домашних роутеров, на которых таких "лиц" обычно нет и быть не должно, находятся за несколькими контурами защиты в локальной сети, траффик от них до устройств агрегации добирается по l2 каналам. С точки зрения этого, что ipoe, что PPPoE как одинаково защищены, так и одинаково уязвимы. Всё на совести вашего провайдера.

Answer 3 · 2024-06-28 00:09:58

Вы приводите в пример уязвимые реализации PPPoE, а задаёте вопрос про сам протокол. Протокол нормальный для своей цели, а изначальная его цель — использовать PPP (существующую инфраструктуру и софт) в Ethernet-сетях, причём последние потенциально могут быть арендованными, а не принадлежащими вашему интернет-провайдеру.

В DHCP-клиентах также неоднократно находили различные уязвимости. Самая известная, пожалуй, shellshock
https://ru.wikipedia.org/wiki/Bashdoor#Атака_на_DH...

Безопасно ли использовать протокол PPPoE в 2024 году?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт