Migliaia di sistemi a rischio per via di SNMP malconfigurato

Massimo Rabbi | 5 March 2008 | 23:07

La scansione di circa 2,5 milioni di IP da parte di Adrian Pastor di GNUCitizen ha rivelato come 5320 sistemi possano “potenzialmente” essere controllati e/o compromessi via Internet attraverso il protocollo SNMP.
Le comunicazioni SNMP tipicamente avvengono per mezzo di testo in chiaro (passwords e “community strings” ad esempio).
Per ragioni di sicurezza l’utilizzo di SNMP se necessario, va limitato e ristretto al proprio perimetro di rete.

Purtroppo questa precauzione spesso non viene presa in considerazione, e vengono lasciate impostate le community strings con i valori di default.
Tra i sistemi più diffusi individuati da Pastor nella sua indagine vi sono: router Zyxel Prestige, Netopia, Cisco, dispositivi Apple AirPort/Base Station e modem voip Touchstone di Arris. Sono stati identificati anche sistemi Windows 2000.
Durante il suo test, Pastor ha inviato query con object ID (OID) 1.3.6.1.2.1.1.1.0, che ritorna il modello di router e il costruttore.
Non sono state ricercate specifiche vulnerabilità, tuttavia lo stesso Pastor ha in passato pubblicato un’analisi che rivela numerose vulnerabilità in routers molto diffusi come ad esempio gli Zyxel Prestige, incluse alcune legate a SNMP.
E’ stato mostrato come l’accesso SNMP possa rivelare la lista degli utenti su macchine Windows 2000 Server, dati relativi all’accesso DSL sui routers BT Voyager, passwords di amministrazione sulle stampanti HP e altri parametri inclusi quelli di login per il dns dinamico su routers Zyxel.

Di per sè il protocollo SNMP non rappresenta un problema di sicurezza, visto che comunque moltissimi tools tra cui HP OpenView, Cisco Works LMS e Nagios lo utilizzano ampiamente: tuttavia è intrisecamente insicuro e progettato per essere usato in ambito locale e interno. Detto questo ogni sua “esposizione” su Internet dovrebbe andare caldamente evitata!

APPROFONDIMENTI:
* Exploring the UNKNOWN: Scanning the Internet via SNMP!, report from Adrian Pastor
* ZyXEL Gateways Vulnerability Research (PDF) , report from Adrian Pastor
* Systems disclose sensitive data via SNMP , news by Heise Security

Categorie
Mondo WWW, Networking, Sicurezza
Commenti RSS
Commenti RSS
Trackback
Trackback

« Scoperto un database con più di 8000 account ftp rubati Winlockpwn tool: come bypassare il sistema di login di Windows via FireWire! »

Lascia un commento

Puoi usare questi tag : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>