首页 > 安全 > 网站安全 > 正文
StringBleed:SNMP协议“上帝模式”漏洞影响多种网络设备
2017-05-09 09:29:00       个评论      
收藏    我要投稿

StringBleed:SNMP协议“上帝模式”漏洞影响多种网络设备。近期,据来自南美的两位安全研究者发现,SNMP(简单网络管理协议)的v1和v2版本协议存在授权认证和访问控制绕过漏洞,至少有78种型号的网络接入和IoT设备受此漏洞影响,攻击者可以利用该漏洞远程获得相关设备的读写权限,进而控制设备。这一漏洞被发现者命名为Stringbleed,受影响的设备产品类型涉及路由器、VoIP网关、IoT设备和其他拨号网关等。

目前,该漏洞原因在安全社区中掀起了一场讨论,围绕ISP(网络服务提供商)错误控制配置和SNMP协议本身存在较大争议。而官方的CVE和NVD漏洞库对此漏洞分配的编号为CVE-2017-5135,但具体的技术分析和最终定论仍在进行中。现在,让我们一起来看看两位研究者对该漏洞的发现过程:

对Stringbleed漏洞的发现过程

在去年7月的DEFCON 24黑客大会上,我们演示了SNMP协议的写权限安全问题,该问题可能会对物联网设备、警用巡逻车、救护车等“紧急任务车辆”的使用和运行造成影响。

2016年12月,我们打算对互联网设备的SNMP协议进行一次安全性模糊测试(fuzz),这一次我们使用了不同社区字符串(community string)组合来进行测试。比仿说,使用“root”、“admin”或“user”等字符串作为SNMP请求消息随机值,测试SNMP协议设备如何响应请求。

我们知道,SNMP协议有3种方式在客户端和远程SNMP设备之间进行身份验证,在SNMP v1和SNMP v2版本中,使用可读的字符串数据类型即社区字符串(公开或私有)来进行认证。而在SNMP v3中,用户则可以选择用户名、密码和身份认证方式进行安全验证。另外,像对象标识符(oids)和陷阱消息(traps)等其它内容信息将会统一保存在管理信息库(MIB)中进行存储。

对SNMP的Fuzz测试过程中,我们编写了一个使用套接字(socket)构建“snmpget”请求的Python测试脚本。在请求消息中,我们需要调用sysDescr OID,如果我们测试的字符串值(admin、root等)正好与保存在SNMP代理中的身份验证信息相同,那么我们就可以成功获取到sysDescr OID信息了,整个过程与暴力破解攻击类似。然而,经过了几天的扫描探测之后,我们发现了一个不可思议的现象:有些设备或指纹节点,无论我们发送什么请求消息,总会向我们返回响应信息。这到底是怎么回事呢??

SysDescr OID(系统描述):SNMP命令,对应一个描述设备系统的特定厂商字符串标识符。

如前所述,按理来说,SNMP v1和v2的身份认证只接受保存在SNMP客户端身份验证机制中的数据值,但从以上我们的研究结果来看,这种情况似乎与SNMP定义规范不相符合,存在出入。

最终,我们发现了SNMP协议存在的问题:可以使用任意字符串或整数值来对某些特定SNMP客户端设备进行身份验证,绕过其安全认证机制,但更糟糕的还在于,甚至可以利用任意字符串或整数值来获取到这些SNMP设备完整的远程读写(read/write)权限。该漏洞被归为不正确的访问控制类型漏洞,编号为CVE-2017-5135。

漏洞验证

我们决定选用思科DPC3928SL网关设备作为漏洞测试产品,而经测试证明,该产品是受此漏洞影响最为严重的网络设备之一。但思科公司表示,他们早就已经停止对这款型号设备的技术支持服务了,现在这款产品硬件属于Technicolor公司,于是我们便与Technicolor公司进行漏洞情况意见交换。经过一番邮件交流,Technicolor确认了该产品漏洞,但却给出了一个我们不能接受的解决方案。

\
\

Technicolor公司认为,该漏洞是由于ISP(网络服务提供商)的错误配置引起的,与他们的产品无关!这简直是太滑头了!好吧,谢谢你的帮助确认和快速回复,我们将继续深入分析,请拭目以待。

大家可能会有这样一个疑问:网络上是否还会有其它设备会受到该漏洞影响?是的,没错,我们通过测试证明,多家供应商品牌网络设备存在该SNMP协议漏洞,而这也映证了Technicolor公司的错误观点。我们把该SNMP漏洞命名为STRINGBLEED。

我们决定再对全网SNMP协议设备进行一次扫描测试,在请求消息中,我们用大量的随机哈希值替换了可读的社区字符串,最终测试结果让我们大为震惊,竟然有150多种不同的网络设备指纹受该漏洞影响!事实证明,访漏洞问题并不是由网络服务提供商的错误配置所造成的,问题似乎出在了SNMP协议的自身代码上。

总结

我们在SNMP协议中发现了一个,可以利用任意字符串或整数值来绕过SNMP访问控制的远程代码执行漏洞;

通过该漏洞可以在MIB(管理信息库)中写入任意字符串;

可以在无需community string的情况下,轻易地从目标设备中获取到用户名密码等敏感信息;

随着时间的持续,可能会有更多厂商的多种型号设备会受此漏洞影响,因此,其漏洞修复过程可能并不容易;

Technicolor公司缺乏相应的安全响应和技术分析支持。

漏洞利用PoC

以存在漏洞的192.168.0.1设备为例,其社区字符串(Community String)方式的攻击如下:

\

野生PoC

以下PoC经漏洞发现者证明,为Stringbleed的非官方PoC,CVE也证实其中包含危险性测试代码,请谨慎下载使用!

git clone https://github.com/string-bleed/StringBleed-CVE-2017-5135.git

cd StringBleed-CVE-2017-5135

make && make all

./poc-linux

目前受影响厂商和相关设备(78种型号设备)

5352 —>Zoom Telephonics, Inc

BCW700J —> BN-Mux

BCW710J —> BN-Mux

BCW710J2 —> BN-Mux

C3000-100NAS —> Netgear

CBV734EW —> Castlenet

CBV38Z4EC —>CastleNet

CBV38Z4ECNIT —>CastleNet

CBW383G4J —>CastleNet

CBW38G4J —>CastleNet

CBW700N —> TEKNOTEL

CG2001-AN22A

CG2001—>UDBNA

CG2001—>UN2NA

CG2002 —>UN2NA

CG2200 —>UN2NA

CGD24G-100NAS —> Netgear

CGD24G-1CHNAS —> Netgear

CM5100 —> Netgear

CM5100-511 —> Netgear

CM-6300n —> Comtrend

DCX-3200 —> Arris

DDW2600 —> Ubee

DDW2602 —> Ubee

DG950A —> Arris

DPC2100 —> Cisco

DPC2320 —> Cisco

DPC2420 —> Cisco

DPC3928SL —> Cisco

DVW2108 —> Ubee

DVW2110 —> Ubee

DVW2117 —> Ubee

DWG849 —> Thomson

DWG850-4 —> Thomson

DWG855 —> Thomson

EPC2203 —> Cisco

EPC3212 —> Cisco

IB-8120 —>W21

IB-8120 —>W21E1

MNG2120J —>NET&SYS

MNG6200 —>NET&SYS

MNG6300 —>NET&SYS

SB5100 —> Motorola

SB5101 —> Motorola

SB5102 —> Motorola

SBG6580 —> Motorola

SBG900 —> Motorola

SBG901 —> Motorola

SBG941 —> Motorola

SVG1202 —> Motorola

SVG2501 —> Motorola

T60C926 —> Ambit

TC7110.AR —> Technicolor

TC7110.B —> Technicolor

TC7110.D —> Technicolor

TC7200.d1I —> Technicolor

TC7200.TH2v2 —> Technicolor

THG540 —> Thomson

THG541 —> Thomson

Tj715x —> Terayon

TM501A —> Arris

TM502B —> Arris

TM601A —> Arris

TM601B —> Arris

TM602A —> Arris

TM602B —> Arris

TM602G —> Arris

TWG850-4U —> Thomson

TWG870 —> Thomson

TWG870U —> Thomson

U10C019 —> Ubee

U10C037 —> Ubee

VM1700D —>Kaonmedia

WTM552G —> Arris

WTM652G —> Arris

DCM-704 —> D-Link

DCM-604 —> D-Link

DG950S —> Arris

点击复制链接 与好友分享!回本站首页
上一篇:使用阿里云免费SSL证书实现全站HTTPS化
下一篇:2017年5月11日被黑网站曝光
相关文章
图文推荐
文章
推荐
热门新闻

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训
版权所有: 红黑联盟--致力于做实用的IT技术学习网站