SNMP: potężna dziura w Internecie

Komitet CERT, czuwający nad bezpieczeństwem Internetu, poinformował o nowo odkrytych dziurach w najpopularniejszym protokole zarządzania SNMP. Umożliwiają one włamywaczom zakłócenie, unieruchomienie bądź przejęcie kontroli nad urządzeniami i oprogramowaniem korzystającym z SNMP

Komitet CERT, czuwający nad bezpieczeństwem Internetu, poinformował o nowo odkrytych dziurach w najpopularniejszym protokole zarządzania SNMP. Umożliwiają one włamywaczom zakłócenie, unieruchomienie bądź przejęcie kontroli nad urządzeniami i oprogramowaniem korzystającym z SNMP.

CERT ostrzega

Pełną treść ostrzeżenia CERT, dotyczącego luk w SNMP, można znaleźć pod adresemhttp://www.cert.org/advisories/CA-2002-03.html. Lista dostawców poinformowanych przez CERT o istnieniu błędu znajduje się pod adresami:http://www.kb.cert.org/vuls/id/854306 i http://www.kb.cert.org/vuls/id/107186.

Problem, zdaniem CERT, dotyczy przełączników, routerów, koncentratorów, drukarek i systemów operacyjnych pochodzących od setek producentów.

Potwierdzone podejrzenia

Od dawna mówiło się, że opracowany w 1988 r. protokół SNMP może być furtką dla hakerów. Podejrzenia potwierdziła w ub.r. grupa fińskich naukowców z uniwersytetu Oulu. Udokumentowali oni sześć luk w pierwszej, najpowszechniej stosowanej, implementacji SNMPv1. Z użyciem narzędzi napisanych w Javie zademonstrowali, jak w następstwie ataku DoS przejąć kontrolę nad siecią bądź poważnie zakłócić jej pracę. To, jaki skutek może wywołać haker, zależy od sposobu implementacji SNMP w konkretnym urządzeniu lub systemie.

Finowie powiadomili CERT pod koniec 2001 r. Cała sprawa utrzymywana była jednak w tajemnicy - komitet przekazał informacje tylko producentom urządzeń i oprogramowania, zostawiając im czas na opracowanie poprawek. Chociaż część producentów nie zdążyła jeszcze z przygotowaniem "łat" dla SNMP, to ze względu na obawy przed nie kontrolowanym wyciekiem informacji CERT zdecydował się opublikować ostrzeżenie.

Co robić?

Na wykorzystanie luk w SNMP przez zewnętrznych włamywaczy najbardziej narażone są firmy, które stosują ten protokół, nie ograniczając jego przesyłania przez firewall. Ofiarami mogą paść również firmy, stosujące nieświadomie urządzenia sieciowe korzystające z SNMP. Problem dotyczy także użytkowników stosujących modemy kablowe, które zazwyczaj pozwalają na zarządzanie SNMP.

Jak się chronić?
  • Instalowanie poprawek obsługi SNMP na wszystkich urządzeniach

  • Wydzielenie ruchu SNMP w ramach odrębnej podsieci lub całkowite wyłączenie obsługi protokołu (często niedopuszczalne)

  • Identyfikowanie i filtrowanie wszystkich nie autoryzowanych komunikatów SNMP inicjowanych z sieci lokalnej

  • Filtrowanie komunikatów trafiających do portów SNMP zarządzanych urządzeń

  • W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

    TOP 200