El único mecanismo de autenticación que SNMP usa es un "nombre de comunidad" no cifrado. Si la falta de encriptación ya de por sí es mala, peor aún es que la mayor parte de los dispositivos SNMP utilicen como nombre de comunidad por omisión la palabra "public"; otros fabricantes de dispositivos de red, utilizan la palabra "private" para la información más sensible. Los posibles agresores pueden utilizar esta vulnerabilidad en SNMP para reconfigurar o incluso desactivar dispositivos remotamente. La captura del tráfico SNMP, por otra parte, puede revelar una gran cantidad de información sobre la estructura de la red, así como de los dispositivos y sistemas conectados a la misma. Toda esa información puede ser utilizada por parte de los intrusos para seleccionar blancos y planear ataques. SNMP no es exclusivo del mundo UNIX. Pero la mayor parte de los ataques de esta índole se producen contra sistemas UNIX debido a configuraciones SNMP deficientes. No se ha apreciado, sin embargo, que esto suponga un gran problema en los sistemas Windows.
Esta vulnerabilidad fue ya detectada en 2002 por Internet Security Systems (ISS), fabricante de soluciones de seguridad para Internet.
Dado que esta vulnerabilidad puede afectar a cientos de productos que trabajan sobre SNMP, como routers, switches, servidores modems cable oADSL, el equipo I+D de Internet Security Systems, conocido como X-Force, ha desarrollado y puesto a disposición del mercado un nuevo método de detección (FlexCheck) que se ha incorporado en su solución más vendida y utilizada: Internet Scanner.
FlexCheck detecta potenciales dispositivos vulnerables del SNMP y está disponible en: http://www.iss.net/cgi-bin/download/customer/download_product.cgi.
Al mismo tiempo, esta multinacional urge a seguir los siguientes pasos para contrarrestar los posibles efectos:
- Cerrar los routers gestionados con listas de control de accesos y los firewalls con reglas que permitan el paso sólo a las direcciones IP autorizadas. Esto está hecho vía puertos SNMP tcp/udp 161 y 162.
- Apagar el SNMP en todos los casos en que no sea usado.
- Poner en marcha reglas anti-spoofing de tal forma que no puedan insertarse paquetes de fuera de la red corporativa.
- Las pequeñas empresas y home offices conectadas a Internet vía ISP deben contactar con el fabricante de sus modems o routers para ver sus recomendaciones. También pueden considerar instalar defensas perimetrales en forma de un router con capacidades de filtrado ysoftware personal de firewall con capacidades de detección de intrusiones.
- Cambiar los strings comunitarios.
No hay comentarios:
Publicar un comentario