當前位置:
首頁 > 新聞 > StringBleed:SNMP協議「上帝模式」漏洞影響多種網路設備

StringBleed:SNMP協議「上帝模式」漏洞影響多種網路設備


近期,據來自南美的兩位安全研究者發現,SNMP(簡單網路管理協議)的v1和v2版本協議存在授權認證和訪問控制繞過漏洞,至少有78種型號的網路接入和IoT設備受此漏洞影響,攻擊者可以利用該漏洞遠程獲得相關設備的讀寫許可權,進而控制設備。這一漏洞被發現者命名為Stringbleed,受影響的設備產品類型涉及路由器、VoIP網關、IoT設備和其他撥號網關等。

目前,該漏洞原因在安全社區中掀起了一場討論,圍繞ISP(網路服務提供商)錯誤控制配置和SNMP協議本身存在較大爭議。而官方的CVE和NVD漏洞庫對此漏洞分配的編號為CVE-2017-5135,但具體的技術分析和最終定論仍在進行中。現在,讓我們一起來看看兩位研究者對該漏洞的發現過程:


對Stringbleed漏洞的發現過程

在去年7月的DEFCON 24黑客大會上,我們演示了SNMP協議的寫許可權安全問題,該問題可能會對物聯網設備、警用巡邏車、救護車等「緊急任務車輛」的使用和運行造成影響。

2016年12月,我們打算對互聯網設備的SNMP協議進行一次安全性模糊測試(fuzz),這一次我們使用了不同社區字元串(community string)組合來進行測試。比仿說,使用「root」、「admin」或「user」等字元串作為SNMP請求消息隨機值,測試SNMP協議設備如何響應請求。

我們知道,SNMP協議有3種方式在客戶端和遠程SNMP設備之間進行身份驗證,在SNMP v1和SNMP v2版本中,使用可讀的字元串數據類型即社區字元串(公開或私有)來進行認證。而在SNMP v3中,用戶則可以選擇用戶名、密碼和身份認證方式進行安全驗證。另外,像對象標識符(oids)和陷阱消息(traps)等其它內容信息將會統一保存在管理信息庫(MIB)中進行存儲。

對SNMP的Fuzz測試過程中,我們編寫了一個使用套接字(socket)構建「snmpget」請求的Python測試腳本。在請求消息中,我們需要調用sysDescr OID,如果我們測試的字元串值(admin、root等)正好與保存在SNMP代理中的身份驗證信息相同,那麼我們就可以成功獲取到sysDescr OID信息了,整個過程與暴力破解攻擊類似。然而,經過了幾天的掃描探測之後,我們發現了一個不可思議的現象:有些設備或指紋節點,無論我們發送什麼請求消息,總會向我們返迴響應信息。這到底是怎麼回事呢??


SysDescr OID(系統描述):SNMP命令,對應一個描述設備系統的特定廠商字元串標識符。

如前所述,按理來說,SNMP v1和v2的身份認證只接受保存在SNMP客戶端身份驗證機制中的數據值,但從以上我們的研究結果來看,這種情況似乎與SNMP定義規範不相符合,存在出入。

最終,我們發現了SNMP協議存在的問題:可以使用任意字元串或整數值來對某些特定SNMP客戶端設備進行身份驗證,繞過其安全認證機制,但更糟糕的還在於,甚至可以利用任意字元串或整數值來獲取到這些SNMP設備完整的遠程讀寫(read/write)許可權。該漏洞被歸為不正確的訪問控制類型漏洞,編號為CVE-2017-5135。


漏洞驗證

我們決定選用思科DPC3928SL網關設備作為漏洞測試產品,而經測試證明,該產品是受此漏洞影響最為嚴重的網路設備之一。但思科公司表示,他們早就已經停止對這款型號設備的技術支持服務了,現在這款產品硬體屬於Technicolor公司,於是我們便與Technicolor公司進行漏洞情況意見交換。經過一番郵件交流,Technicolor確認了該產品漏洞,但卻給出了一個我們不能接受的解決方案。

Technicolor公司認為,該漏洞是由於ISP(網路服務提供商)的錯誤配置引起的,與他們的產品無關!這簡直是太滑頭了!好吧,謝謝你的幫助確認和快速回復,我們將繼續深入分析,請拭目以待。

大家可能會有這樣一個疑問:網路上是否還會有其它設備會受到該漏洞影響?是的,沒錯,我們通過測試證明,多家供應商品牌網路設備存在該SNMP協議漏洞,而這也映證了Technicolor公司的錯誤觀點。我們把該SNMP漏洞命名為STRINGBLEED。

我們決定再對全網SNMP協議設備進行一次掃描測試,在請求消息中,我們用大量的隨機哈希值替換了可讀的社區字元串,最終測試結果讓我們大為震驚,竟然有150多種不同的網路設備指紋受該漏洞影響!事實證明,訪漏洞問題並不是由網路服務提供商的錯誤配置所造成的,問題似乎出在了SNMP協議的自身代碼上。


總結

我們在SNMP協議中發現了一個,可以利用任意字元串或整數值來繞過SNMP訪問控制的遠程代碼執行漏洞;

通過該漏洞可以在MIB(管理信息庫)中寫入任意字元串;

可以在無需community string的情況下,輕易地從目標設備中獲取到用戶名密碼等敏感信息;

隨著時間的持續,可能會有更多廠商的多種型號設備會受此漏洞影響,因此,其漏洞修復過程可能並不容易;

Technicolor公司缺乏相應的安全響應和技術分析支持。


漏洞利用PoC

以存在漏洞的192.168.0.1設備為例,其社區字元串(Community String)方式的攻擊如下:


野生PoC

以下PoC經漏洞發現者證明,為Stringbleed的非官方PoC,CVE也證實其中包含危險性測試代碼,請謹慎下載使用!


git clone https://github.com/string-bleed/StringBleed-CVE-2017-5135.git

cd StringBleed-CVE-2017-5135

make && make all

./poc-linux


目前受影響廠商和相關設備(78種型號設備)


5352 —>Zoom Telephonics, Inc

BCW700J —> BN-Mux

BCW710J —> BN-Mux

BCW710J2 —> BN-Mux

C3000-100NAS —> Netgear

CBV734EW —> Castlenet

CBV38Z4EC —>CastleNet

CBV38Z4ECNIT —>CastleNet

CBW383G4J —>CastleNet

CBW38G4J —>CastleNet

CBW700N —> TEKNOTEL

CG2001-AN22A

CG2001—>UDBNA

CG2001—>UN2NA

CG2002 —>UN2NA

CG2200 —>UN2NA

CGD24G-100NAS —> Netgear

CGD24G-1CHNAS —> Netgear

CM5100 —> Netgear

CM5100-511 —> Netgear

CM-6300n —> Comtrend

DCX-3200 —> Arris

DDW2600 —> Ubee

DDW2602 —> Ubee

DG950A —> Arris

DPC2100 —> Cisco

DPC2320 —> Cisco

DPC2420 —> Cisco

DPC3928SL —> Cisco

DVW2108 —> Ubee

DVW2110 —> Ubee

DVW2117 —> Ubee

DWG849 —> Thomson

DWG850-4 —> Thomson

DWG855 —> Thomson

EPC2203 —> Cisco

EPC3212 —> Cisco

IB-8120 —>W21

IB-8120 —>W21E1

MNG2120J —>NET&SYS

MNG6200 —>NET&SYS

MNG6300 —>NET&SYS

SB5100 —> Motorola

SB5101 —> Motorola

SB5102 —> Motorola

SBG6580 —> Motorola

SBG900 —> Motorola

SBG901 —> Motorola

SBG941 —> Motorola

SVG1202 —> Motorola

SVG2501 —> Motorola

T60C926 —> Ambit

TC7110.AR —> Technicolor

TC7110.B —> Technicolor

TC7110.D —> Technicolor

TC7200.d1I —> Technicolor

TC7200.TH2v2 —> Technicolor

THG540 —> Thomson

THG541 —> Thomson

Tj715x —> Terayon

TM501A —> Arris

TM502B —> Arris

TM601A —> Arris

TM601B —> Arris

TM602A —> Arris

TM602B —> Arris

TM602G —> Arris

TWG850-4U —> Thomson

TWG870 —> Thomson

TWG870U —> Thomson

U10C019 —> Ubee

U10C037 —> Ubee

VM1700D —>Kaonmedia

WTM552G —> Arris

WTM652G —> Arris

DCM-704 —> D-Link

DCM-604 —> D-Link

DG950S —> Arris

*參考來源:stringbleed、bleepingcomputer,freebuf小編clouds編譯,轉載請註明來自FreeBuf.com


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 FreeBuf 的精彩文章:

Makednslog:讓我們來看一看這款能夠偽造DNS日誌的工具
新式攻擊使用W3C環境光線感測器來竊取瀏覽器的敏感信息
俄羅斯黑客組織「Fancy Bear」最新釣魚手段
公有雲廠商DDoS防護產品競品分析
Pwnable.tw刷題之calc

TAG:FreeBuf |

您可能感興趣

Intel CPU Spoiler漏洞預警
WordPress插件YITH WooCommerce Wishlist SQL注入漏洞
Electron曝XSS 漏洞,Atom、VS Code 等受影響
iOS漏洞——Web View XSS
印度餐飲點評網Zomato的Reflected XSS漏洞
Electron 軟體框架漏洞影響眾多熱門應用:Skype、Signal、Slack、Twitch……
WordPress Simple Social Buttons插件安全漏洞
頭條:Oracle MICROS PoS存漏洞
Branch.io漏洞將Tinder,Shopify,Yelp用戶暴露於XSS攻擊下
實測:Meltdown漏洞對AWS、Azure和DigitalOcean的不同影響
Intel CPU再曝底層漏洞 攻擊範圍可超越Spectre和Meltdown
Gradle Plugin Portal:結合點擊劫持和CSRF漏洞實現帳戶接管
WPSeku-Wordpress漏洞掃描工具
Kubernetes Kubectl CLI 工具曝出「高危」安全漏洞
WebKit漏洞影響最新版Apple Safari
Mirai變成Miori:IoT殭屍網路通過ThinkPHP遠程代碼執行漏洞傳播
Netflix披露FreeBSD與Linux核心漏洞
繞過nftables/PacketFilter防火牆過濾規則傳輸ICMP/ICMPv6數據包的漏洞詳解(上)
Sennhiser HeadSetup 軟體暴漏出中間人 SSL 攻擊漏洞
Intel CPU 再現新漏洞:預測執行攻擊 L1 Terminal Fault