Il CERT avverte: rete a rischio

Una debolezza del protocollo SNMP mette a rischio molti device di rete e persino gli utenti. Preoccupazione. L'advisory ufficiale del CERT. Si parla di un tool di attacco che sta giÓ circolando. ISP in prima linea

Il CERT avverte: rete a rischioWeb - Le anticipazioni si sono rincorse per tutta la giornata di ieri fino a quando in serata il CERT, l'organismo di ricerca e sicurezza americano finanziato dal governo USA, ha rilasciato un advisory su un problema di sicurezza ritenuto estremamente pericoloso, un problema che riguarda provider, operatori e potenzialmente anche gli utenti internet.

La sostanza Ŕ che esiste una vulnerabilitÓ grave in uno dei protocolli pi¨ diffusi nel mondo del networking, il Simple Network Management Protocol (SNMP), un protocollo utilizzato su una varietÓ di device essenziali al funzionamento delle reti, dai router agli switch, ma anche su altri strumenti: si tratta infatti di un linguaggio di base che consente ai responsabili di rete di monitorare e gestire le performance dei sistemi di networking.

Ne consegue che una sua importante debolezza possa risultare particolarmente insidiosa. Secondo Martin Linder del CERT sarebbero pi¨ di 200 i produttori di hardware i cui prodotti sono a rischio, e questo proprio a causa della diffusione dell'SNMP. Stando a Linder, le vulnerabilitÓ potrebbero consentire ad un aggressore esterno di spegnere i device o tagliarli fuori dalla rete. "In un caso estremo - ha dichiarato l'esperto - si potrebbe provocare un buffer overflow per prendere possesso del device".
Secondo il CERT "le vulnerabilitÓ individuate in SNMP possono favorire attacchi denial-of-service, interruzioni di servizio e in alcuni casi consentire l'accesso al device da parte dell'aggressore".

Va anche detto che il rischio rappresentato dalle vulnerabilitÓ di SNMP varia grandemente a seconda del tipo di device. Anche per questo nella pagina dell'advisory sono disponibili riferimenti diretti ai produttori dell'hardware che pu˛ essere compromesso da un'aggressione.

Va detto che il bug Ŕ noto in certi ambienti da un anno, da quando in Finlandia l'UniversitÓ di Oulu lo ha rilevato. Linder ha spiegato che, comunque, la debolezza affligge SNMP dalla nascita del protocollo, pi¨ di dieci anni fa. Negli ultimi mesi il CERT lo ha esaminato e ne ha parlato con i produttori di hardware. Ultimamente, per˛, di questa vulnerabilitÓ sono iniziati a trapelare particolari all'esterno di certi ambienti e il CERT ha dunque deciso di intervenire rilasciando lo statement ufficiale, un advisory che nelle speranze degli esperti dovrebbe ridurre eventuali danni potenzialmente causati da cracker capaci di sfruttare la vulnerabilitÓ.

Nel contempo i tecnici di TruSecure hanno fatto sapere che stanno studiando un tool che consente di sfruttare la vulnerabilitÓ per ottenere il controllo di alcuni device e lo "scollegamento" di altri. Hanno anche spiegato che il tool al momento si trova "on the wild", ed Ŕ quindi disponibile in rete e potrebbe essere giÓ finito nelle mani di qualche potenziale aggressore. Da parte loro, in ogni caso, non si aspettano gravissimi danni a causa delle debolezze di SNMP ma affermano che vada messo in conto come lo sfruttamento abusivo di questa falla porterÓ ad una serie di "incidenti".

Secondo Alan Paller, direttore della ricerca presso il SANS Institute, i provider dovranno muoversi rapidamente nelle prossime ore per mettere i propri network al sicuro. "Gli ISP che non agiscono ora - ha affermato - corrono il rischio di vedersi sganciare i propri router dalla rete".
TAG: mondo
7 Commenti alla Notizia Il CERT avverte: rete a rischio
Ordina

  • Devo dire che conosco abbastanza bene l'SNMP perche' per lavoro mi occupo di network management, e purtroppo nell'articolo di PI ci sono alcune inesattezze... andiamo con ordine.

    "La sostanza è che esiste una vulnerabilità grave in uno dei protocolli più diffusi nel mondo del networking, il Simple Network Management Protocol (SNMP)".

    Primo errore, il problema non e' nel protocollo in se' ma nell'implementazione dei vari produttori; altrimenti non si spiegherebbe perche' alcuni prodotti siano vulnerabili e altri no.

    "Linder ha spiegato che, comunque, la debolezza affligge SNMP dalla nascita del protocollo, più di dieci anni fa."

    Idem come sopra... il protocollo in se' non c'entra nulla...

    Massimo rispetto per il CERT, ma forse questa volta ha un pochino esagerato e mi lascia un po' perplesso.

    "Secondo il CERT le vulnerabilità individuate in SNMP possono favorire attacchi denial-of-service, interruzioni di servizio e in alcuni casi consentire l'accesso al device da parte dell'aggressore".

    Tutto cio' e' teoricamente vero, ma questa volta il bollettino del CERT e' molto vago, e credo che il rischio reale sia molto ridotto. Il problema sembra infatti circoscritto al modo in cui i daemon SNMP gestirebbero eventuali richieste fuori standard, esibendo un comportamento imprevedibile che potrebbe portare a crash o DoS dell'agente stesso, cosa che normalmente non inficia il funzionamento dell'intero dispositivo. Per fare dei veri e propri danni bisognerebbe avere accesso in scrittura alle MIB sul dispositivo, e sebbene questo e' teoricamente possibile con un buffer overflow, allo stato attuale vista la grande varieta' di dispositivi e piattaforme diverse mi pare altamente improbabile. Poi magari domani uscira' un tool scritto da un quattordicenne che mi smentisce...

    Piuttosto, come gia' detto da altri il problema molto piu' grave sono quelle persone che lasciano l'SNMP attivo con le community di default, che permettono potenzialmente di fare qualsiasi cosa...

    In ogni caso, il sistema su cui sto lavorando in questo momento e' vulnerabile... Triste(

    non+autenticato
  • Ok, pero' non e' facile buttar giu' che tu vedi le cose meglio del CERT. Forse dovresti darci un po' piu' di dettagli.
    non+autenticato
  • Prendete un mib browser e fate uno scan della rete... trovate migliaia di device snmp che rispondono.

    Basta settare una password e mettere su un access-list.

    I provider che non l'hanno fatto devono semplicemente prendere a calci in culo il proprio esperto networking.

    p.s. si si, arrivo, sparo sentenze (tra l'altro imprecise) e me ne vo', VABBENE?

    Andrè
    non+autenticato
  • > Prendete un mib browser e fate uno scan
    > della rete... trovate migliaia di device
    > snmp che rispondono.
    >
    > Basta settare una password e mettere su un
    > access-list.
    >


    vogliamo parlare di tutti quelli che lasciano la comunity SNMP di default?

    ciao
    non+autenticato

  • - Scritto da: Andrè
    > Prendete un mib browser e fate uno scan
    > della rete... trovate migliaia di device
    > snmp che rispondono.
    >
    > Basta settare una password e mettere su un
    > access-list.

    Sperando che sia diversa da qualcosa tipo
    wind/wind (per capirci )
    non+autenticato
  • Tutto vero.
    Il CERT ci ha messo un po' ad arrivarci....
    non+autenticato
  • C'e' anche un'altra notizia oggi, quella dell'icann, che ci fa capire che Internet e' intrinsecamente debole. Ci sono una quantita' di modi per danneggiarla. Troppi per star tranquilli.
    non+autenticato