Hackere sprer verktøy mot sårbarheter i SNMP

Mens CERT anbefaler tiltak mot alvorlige sårbarheter i den utbredte SNMP-protokollen, advarer ISS at hackere sprer verktøy for å utnytte sikkerhetshullene.

SNMP - Simple Network Management Protocol - er en fellesnevner for nær sagt alle driftsverktøy for nettverk, og er innlemmet i produkter fra hundretalls leverandører. Det finnes knapt noe operativsystem, ruter, svitsj eller annet nettverksutstyr som ikke har en SNMP-tjeneste.

Det offisielle amerikanske Computer Emergency Response Team (CERT) publiserte i går en advarsel om sårbarheter i protokollen. CERT advarer at svakheter i SNMPs håndtering av driftsrelaterte meldinger mellom driftsverktøyene og deres "agenter" kan utnyttes av teknisk kyndige til å utløse bufferoversvømmelser, nedetid, tjenestenektangrep og kapring av servere.

Advarselen fra CERT inneholder lenker til fikser fra de fleste aktuelle utstyrsleverandørene. I tillegg til å installere disse, anbefaler CERT en rekke andre tiltak. CERT mener systemadministratorer må kople ut SNMP der det ikke er påkrevet, noe som skal være spesielt aktuelt for Microsoft-miljøer. Man må videre ikke bare blokkere tilgang til SNMP-tjenester ved randen av nettverket, men også konfigurere SNMP-agenter slik at de avviser meldinger fra ikke-autoriserte kilder. CERT anbefaler videre å begrense SNMP-trafikk til et eget driftsnettverk, og filtrere alle utgående meldinger.

Sårbarhetene i SNMP kan føres tilbake til en grunnleggende forutsetning fra Internettets pionertid. Da var det ingen som tenkte spesielt på sikkerhet. Alle var ensidig opptatt av at ting skulle virke. Resultatet er et svært fleksibelt og anvendbart system, der driftsansvarlige kan følge med i en rekke detaljer om hvordan alle nodene i nettet har det, også ned til hvorvidt en bestemt skriver har papir eller ikke.

Sårbarhetene som CERT advarer mot, ble opprinnelig oppdaget i fjor av Secure Programming Group ved universitetet i Oulu i Finland. De gjelder versjon 1 av SNMP. Versjon 3 ble publisert i fjor, og tetter noen av hullene, men skal ennå ikke være i utstrakt bruk.

Samme dag som CERT sendte ut sine anbefalinger, sendte Internet Security Systems Inc (ISS) ut en advarsel om PROTOS Remote SNMP Attack Tool som de mener kan være i ferd med å sirkulere blant "undergrunnshackere".

Dette verktøyet brukes til å sende tusener av SNMP-meldinger inn i et nettverk for å finne fram til utnyttbare sårbarheter. ISS skriver at det uten videre vil kunne få alt som kjører SNMP til å krasje, og mener at det også vil kunne brukes til mer listige knep.

Verktøyet ble opprinnelig utviklet av Universitetet i Oulu i forbindelse med sine undersøkelser av SNMP-protokollens sårbarheter, et prosjekt som ble døpt nettopp PROTOS.

Til toppen