Утечка параметров аутентификации через SNMP в некоторых моделях сетевых устройств

17.05.2014 20:28

В сетевых устройствах Brocade, Motorola/Netopia и Ambit выявлена критическая уязвимость, позволяющая удалённо получить параметры аутентификации, позволяющие подключиться к устройству или обслуживаемой им сети, через общедоступный вывод сервиса SNMP (community public). Для получения таких данных как логины пользователей, хэши паролей и ключи доступа к беспроводной сети, достаточно отправить SNMP-запрос при помощи штатных утилит, таких как snmpwalk или snmpget.

Сообщается, что в настоящее время раскрыты сведения только об устройствах трёх производителей, но уязвимы и некоторые устройства других производителей, информация по которым пока не раскрывается из-за соглашения о предоставлении времени на выпуск обновлений прошивки. Сведения о других уязвимых устройствах будут опубликованы позднее.

Проблемные устройства:

Балансировщик трафика Brocade ServerIron ADX 1016-2-PREM хранит логины и хэши паролей в публичных SNMP MIB-таблицах и выдаёт их при запросе OID 1.3.6.1.4.1.1991.1.1.2.9.2.1.1 и 1.3.6.1.4.1.1991.1.1.2.9.2.1.2. Сервис SNMP включен по умолчанию.
DSL-модемы серии Motorola/Netopia 3347 выдают через публичный SNMP SSID-идентификатор беспроводной сети, ключи WEP и WPA PSK. В большинстве моделей SNMP включен по умолчанию на интерфейсе внутренней сети, но встречаются модели, на которых SNMP включен и на WAN-интерфейсе.
Беспроводные маршрутизаторы Ambit серий U10C019 и Ubee DDW3611 выдают через публичный SNMP логины, хэши паролей, SSID-идентификатор беспроводной сети, ключи WEP и WPA PSK. По умолчанию сервис SNMP отключен.

При сканировании Сети было выявлено 229 тысяч доступных через интернет потенциально уязвимых устройств Ambit, 224 тысячи устройств Netopia и 9 тысяч балансировщиков Brocade. Несмотря на относительно небольшое число выявленный балансировщиков Brocade, они представляют наибольшую опасность, так как обычно используются в крупных корпорациях и их взлом может послужить отправной точкой для проникновения во внутреннюю корпоративную сеть.

При этом проблему усугубляет то, что уязвимости подвержены модели уже снятые с производства, поддержка которых прекращена и производитель навряд ли выпустит обновления прошивки (производитель был уведомлен о проблеме за три месяца до её публичного обнародования, но обновления так и не были выпущены). Пользователям различных сетевых устройств рекомендуется убедиться в ограничении доступа к сервису SNMP или отключить его, если он не используется для мониторинга.

исправить +8 +/–

Главная ссылка к новости (https://community.rapid7.com/c...)

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/39798-ssnmp

Ключевые слова: ssnmp, security

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (55)

1.1, Аноним (-), 21:44, 17/05/2014 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Дара на дыре. И самое плохое что иногда альтернативы для обновления нет. Эти ошибки трудно назвать просто уязвимостью

2.9, Рудвульф (?), 22:51, 17/05/2014 [^] [^^] [^^^] [ответить]	+1 +/–
Такая байда еще на DLink DWL 2100 AP была, подозреваю што на штатных прошивках полным полно дырок

3.13, Аноним (-), 23:54, 17/05/2014 [^] [^^] [^^^] [ответить]	+1 +/–
> Такая байда еще на DLink DWL 2100 AP была, подозреваю што на > штатных прошивках полным полно дырок Полно, но для тех кто их сделал это фича

2.10, Sabakwaka (ok), 22:53, 17/05/2014 [^] [^^] [^^^] [ответить]	+/–
> альтернативы для обновления нет выкинь железку, разверни функционал на селероне

3.12, Аноним (-), 23:53, 17/05/2014 [^] [^^] [^^^] [ответить]	+/–
>> альтернативы для обновления нет > выкинь железку, разверни функционал на селероне Самый оптимальный способ, поскольку не ко всем подобным устройства оперативно выпускают обновления, не говоря уже о наличие вменяемых исходников, чтобы самому исправить.

3.42, Аноним (-), 08:00, 19/05/2014 [^] [^^] [^^^] [ответить]	–1 +/–
> выкинь железку, разверни функционал на селероне А потом удивись росту счетов за электричество на пару стольников в месяц и понюхай вонищи, когда в древнем хламе заклинит китайский вентиль в БП и все сгорит синим пламенем.

4.50, Аноним (-), 09:44, 19/05/2014 [^] [^^] [^^^] [ответить]

+/–

>А потом удивись росту счетов за электричество на пару стольников в месяц

Да ладно, питдисят ватт потребляет максимум силирон, не будет никакого роста счетов!

>заклинит китайский вентиль в БП

Ты наверно удивишься, но в Brocade ServerIron таких китайских вентилей минимум шесть штук!

1.6, Аноним (-), 22:00, 17/05/2014 [ответить] [﹢﹢﹢] [ · · · ]	+/–
PWNAGE однако.

1.7, Тампарам (?), 22:01, 17/05/2014 [ответить] [﹢﹢﹢] [ · · · ]	+/–
АНБ-шник прокололся. Его день рождения - 4-ое января 1991 года.

2.16, Просто (?), 00:31, 18/05/2014 [^] [^^] [^^^] [ответить]	+/–
1 апреля же 1991-го

1.8, VolanD (ok), 22:02, 17/05/2014 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Гребанный стыд, зачем отдавать логин и пасс то по СНМП?

2.43, Аноним (-), 08:01, 19/05/2014 [^] [^^] [^^^] [ответить]	+/–
> Гребанный стыд, зачем отдавать логин и пасс то по СНМП? Иначе товарищ майор из АНБ очень уж недоволен тем что надо отлеплять зад от стула и лично топать к подозреваемым.

1.11, rob pike (?), 23:07, 17/05/2014 [ответить] [﹢﹢﹢] [ · · · ]	–8 +/–
Первый кто скажет что проблема с устаревшем и прогнившем SNMP и что надо его заменить на REST и желательно на NodeJS, получит печеньку.

2.15, x0r (??), 00:26, 18/05/2014 [^] [^^] [^^^] [ответить]	+4 +/–
Э-э-э.... Уверен, что назначение SNMP правильно понимаешь?

2.17, Аноним (-), 05:01, 18/05/2014 [^] [^^] [^^^] [ответить]	+1 +/–
вы SNMP ни с чем не перепутали ? :) альтернативы SNMP были и есть, но смысл ? много ли вы видели устройств со ВСТРОЕННЫМ клиентом/сервером нагиос, заббикса или кактуса, к примеру ? :)

2.20, t28 (?), 10:37, 18/05/2014 [^] [^^] [^^^] [ответить]

+/–

> Первый кто скажет что проблема с устаревшем и прогнившем SNMP и что
> надо его заменить на REST и желательно на NodeJS, получит печеньку.

SNMP пора заменить на NMP.

Это как Netscape просился популяризировать LDAP, вместо того, чтобы заниматься DAP.

3.24, rob pike (?), 15:06, 18/05/2014 [^] [^^] [^^^] [ответить]	+/–
X500 DAP им надо было заниматься?

4.26, t28 (?), 16:00, 18/05/2014 [^] [^^] [^^^] [ответить]	+/–
Da.

5.27, rob pike (?), 16:25, 18/05/2014 [^] [^^] [^^^] [ответить]	+/–
Ну что ж вы им тогда не сказали-то? Они авторов LDAP нанимали, крупных софтверных вендоров слушали, которые выстроились в очередь за LDAP-ом, а надо-то было X500 пилить.

6.28, t28 (?), 17:20, 18/05/2014 [^] [^^] [^^^] [ответить]	+/–
А что толку кому-то говорить? Это было "не в тренде". Начало 90-х было ознаменовано адаптацией стандартов CCITT для PDN, а во второй половине стало модно отрицание оффициоза и желание пилить что-то кривое, но своё. Таким образом мы сейчас имеем лайв-видеостриминг по HTTP и прочие извращения.

7.29, Аноним (29), 17:57, 18/05/2014 [^] [^^] [^^^] [ответить]	+/–
Отрицание официоза стало модным не просто так.

7.30, rob pike (?), 18:05, 18/05/2014 [^] [^^] [^^^] [ответить]	+/–
>мы сейчас имеем лайв-видеостриминг по HTTP Но таки имеем. А вот телефонисты пытались продвигать такие "видеозвонки", помните? Что там с ними сталось?

8.33, t28 (?), 19:18, 18/05/2014 [^] [^^] [^^^] [ответить]	+/–
Спасибо, я лучше пешком постою Телефонизды так хорошо пытались, что оно и сейча... текст свёрнут, показать

9.34, rob pike (?), 20:08, 18/05/2014 [^] [^^] [^^^] [ответить]	+/–
Нужно как всегда - совокупность компромиссов в устраивающей пользователя конфигу... текст свёрнут, показать

10.35, t28 (?), 20:36, 18/05/2014 [^] [^^] [^^^] [ответить]	+/–
Пользователь в очень редких случаях представляет себе, что же ему действительно ... текст свёрнут, показать

11.36, rob pike (?), 20:44, 18/05/2014 [^] [^^] [^^^] [ответить]	+/–
Смотря что под этим знанием понимать Если попросить его написать ТЗ, то он, кон... текст свёрнут, показать

12.37, Аноним (29), 21:17, 18/05/2014 [^] [^^] [^^^] [ответить]	+/–
Ну вот пользователи и выбрали Жуткие бронтозавры, порожденные ITU-T и несущие н... текст свёрнут, показать

13.40, Demo (??), 23:39, 18/05/2014 [^] [^^] [^^^] [ответить]	+/–
Правильно Xaвaйтe теперь HTTP лайв-стриминг, с минимально возможной задержкой в... текст свёрнут, показать

14.41, rob pike (?), 04:03, 19/05/2014 [^] [^^] [^^^] [ответить]	+/–
Именно четыре секунды Почему не 5, 7, 100 Любой телефон справляется... текст свёрнут, показать

15.51, Demo (??), 10:32, 19/05/2014 [^] [^^] [^^^] [ответить]	+/–
Цифра вычислена эмпирически Не сомневаюсь, что под неё можно подвести необходим... текст свёрнут, показать

16.54, rob pike (?), 11:07, 19/05/2014 [^] [^^] [^^^] [ответить]	+/–
Это очень важно для видеоконференций советов директоров - ЦА классического стрим... текст свёрнут, показать

17.58, Demo (??), 11:41, 19/05/2014 [^] [^^] [^^^] [ответить]	+/–
Я уважаю вашу точку зрения, но больше доверяю мнению наших клиентов, которых зад... текст свёрнут, показать

14.48, Аноним (-), 08:14, 19/05/2014 [^] [^^] [^^^] [ответить]	+/–
Сам по себе поток данных по HTTP ничем не отличается от остальных протоколов Гр... текст свёрнут, показать

15.53, Demo (??), 10:56, 19/05/2014 [^] [^^] [^^^] [ответить]	+/–
Для того, чтобы сравнить две величины нужно сначала убедиться, что они одинаково... текст свёрнут, показать

16.55, rob pike (?), 11:09, 19/05/2014 [^] [^^] [^^^] [ответить]	+/–
Не надо сравнивать величины, надо сравнивать их рост Для этого общая размерност... текст свёрнут, показать

17.56, Demo (??), 11:31, 19/05/2014 [^] [^^] [^^^] [ответить]	+/–
А я утверждаю, что надо ... текст свёрнут, показать

18.57, rob pike (?), 11:34, 19/05/2014 [^] [^^] [^^^] [ответить]	+/–
Ну приведите тогда какие-нибудь шокирующие цифры о текущей распространенности IS... текст свёрнут, показать

19.59, Demo (??), 11:43, 19/05/2014 [^] [^^] [^^^] [ответить]	+/–
Давайте пока подождём, когда товарищ приведёт единицы измерения 1 Вычислительн... текст свёрнут, показать

9.44, Аноним (-), 08:02, 19/05/2014 [^] [^^] [^^^] [ответить]	+/–
Только что-то видеозвонки мало кому сдались, а вот пакетные сети передачи данных... текст свёрнут, показать

2.21, XoRe (ok), 14:13, 18/05/2014 [^] [^^] [^^^] [ответить]	+/–
> Первый кто скажет что проблема с устаревшем и прогнившем SNMP и что > надо его заменить на REST и желательно на NodeJS, получит печеньку. Конечно, у nodeJS с безопасностью все намного лучше. Уже пошел скачивать nodeJS для cisco IOS.

3.25, rob pike (?), 15:22, 18/05/2014 [^] [^^] [^^^] [ответить]	+/–
Вы бы скорее доверяли индийской имплементации ASN1 от Cisco чем индийской же имплементации JSON от Cisco же?

4.45, Аноним (-), 08:03, 19/05/2014 [^] [^^] [^^^] [ответить]	+/–
Один фиг - надо б-дей менять, а не кровати переставлять...

5.49, rob pike (?), 09:11, 19/05/2014 [^] [^^] [^^^] [ответить]	+/–
Но китайская имплементация будет еще хуже.

1.14, Аноним (-), 00:02, 18/05/2014 [ответить] [﹢﹢﹢] [ · · · ]	+5 +/–
SNMP - security not my prerogative )

2.18, VolanD (ok), 08:32, 18/05/2014 [^] [^^] [^^^] [ответить]	+/–
> SNMP - security not my prerogative ) v3 нет?

3.31, Pahanivo (ok), 18:10, 18/05/2014 [^] [^^] [^^^] [ответить]

+/–

>> SNMP - security not my prerogative )
> v3 нет?

а шо энти жалезки фильтровать не умеют? snmp фаером закрыть не?
или хотябы запретить public комьюнити показывать?

4.32, VolanD (ok), 18:36, 18/05/2014 [^] [^^] [^^^] [ответить]	+/–
>>> SNMP - security not my prerogative ) >> v3 нет? > а шо энти жалезки фильтровать не умеют? snmp фаером закрыть не? > или хотябы запретить public комьюнити показывать? Не говоря уже о том, что управляющий трафик должен бегать отдельно+ ACL+ не паблик коммьюнити. А если уже совсем шифрованное шифрование нужно, тогда v3. Опять же не ясно зачем логин и пасс через SNMP отдавать, но имхо косяк юзера в любом случае.

5.38, Pahanivo (ok), 22:39, 18/05/2014 [^] [^^] [^^^] [ответить]

+1 +/–

> но имхо косяк юзера в любом случае.

вот и я о том же.
дело не в дырах, они всегда были, есть и будут - дело в несоблюдении элементарных правил ...

4.46, Аноним (-), 08:04, 19/05/2014 [^] [^^] [^^^] [ответить]	+/–
> а шо энти жалезки фильтровать не умеют? snmp фаером закрыть не? Ну ты тоже когда подходишь к дому - не забудь одеть каску и включить миноискатель. Вдруг сотрудники этих шараг займутся укладкой асфальта или ремонтом крыш?!

1.19, Mikk (??), 10:17, 18/05/2014 [ответить] [﹢﹢﹢] [ · · · ]	+/–
В общем, получается, что это железки, которые толком никто не настраивал - с public community. Конечно производители могли бы отключать snmp по умолчанию. Доступ по snmp к балансировщику? Балансировщик купили, файрвол не купили? Сомнительно.

2.23, Аноним (-), 14:25, 18/05/2014 [^] [^^] [^^^] [ответить]	+/–
> Балансировщик купили, файрвол не купили? чем серьёзней эмбед тем больше д-ма там наличествует от всех причастных.

3.47, Аноним (-), 08:11, 19/05/2014 [^] [^^] [^^^] [ответить]

+/–

> чем серьёзней эмбед тем больше д-ма там наличествует от всех причастных.

Как-то раз мне высказали достаточно правдоподобный тезис: чем больше вы отвалите бабла, тем с большим удовольствием на вас положат болт :).

1.22, XoRe (ok), 14:16, 18/05/2014 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> - Балансировщик трафика Brocade ServerIron ADX 1016-2-PREM хранит логины и > хэши паролей в публичных SNMP MIB-таблицах и выдаёт их при запросе > OID 1.3.6.1.4.1.1991.1.1.2.9.2.1.1 и 1.3.6.1.4.1.1991.1.1.2.9.2.1.2. > Сервис SNMP включен по умолчанию. Теперь мне понятны хакерские фразы из всяких "ghost in the shell". - Мне нужно 5 минут, чтобы взломать их фаерволл... черт, меня засекли! - В следующий раз не жалей времени на грамотный взлом. Ога, ещё +5 минут на чистку логов :D

1.39, Аноним (-), 22:50, 18/05/2014 [ответить] [﹢﹢﹢] [ · · · ]	+/–
а вместо public другое имя указать в настройках нельзя?

1.52, 1 (??), 10:43, 19/05/2014 [ответить] [﹢﹢﹢] [ · · · ]

+/–

А чего все всполошились-то ?

Всегда были знатные ляпы в коммутаторах в SNMP.

Например, в каких-то DLink можно прошивку по нему поменять (ну параметры для взятия прошивки с tftp).

Всегда надо менять "public" на что-то другое - и то сниффером наверное можно зацепить community

игнорирование участников | лог модерирования

Добавить комментарий

Текст: