StringBleed:SNMP協議「上帝模式」漏洞影響多種網路設備
近期,據來自南美的兩位安全研究者發現,SNMP(簡單網路管理協議)的v1和v2版本協議存在授權認證和訪問控制繞過漏洞,至少有78種型號的網路接入和IoT設備受此漏洞影響,攻擊者可以利用該漏洞遠程獲得相關設備的讀寫許可權,進而控制設備。這一漏洞被發現者命名為Stringbleed,受影響的設備產品類型涉及路由器、VoIP網關、IoT設備和其他撥號網關等。
對Stringbleed漏洞的發現過程
在去年7月的DEFCON 24黑客大會上,我們演示了SNMP協議的寫許可權安全問題,該問題可能會對物聯網設備、警用巡邏車、救護車等「緊急任務車輛」的使用和運行造成影響。
2016年12月,我們打算對互聯網設備的SNMP協議進行一次安全性模糊測試(fuzz),這一次我們使用了不同社區字元串(community string)組合來進行測試。比仿說,使用「root」、「admin」或「user」等字元串作為SNMP請求消息隨機值,測試SNMP協議設備如何響應請求。
我們知道,SNMP協議有3種方式在客戶端和遠程SNMP設備之間進行身份驗證,在SNMP v1和SNMP v2版本中,使用可讀的字元串數據類型即社區字元串(公開或私有)來進行認證。而在SNMP v3中,用戶則可以選擇用戶名、密碼和身份認證方式進行安全驗證。另外,像對象標識符(oids)和陷阱消息(traps)等其它內容信息將會統一保存在管理信息庫(MIB)中進行存儲。
對SNMP的Fuzz測試過程中,我們編寫了一個使用套接字(socket)構建「snmpget」請求的Python測試腳本。在請求消息中,我們需要調用sysDescr OID,如果我們測試的字元串值(admin、root等)正好與保存在SNMP代理中的身份驗證信息相同,那麼我們就可以成功獲取到sysDescr OID信息了,整個過程與暴力破解攻擊類似。然而,經過了幾天的掃描探測之後,我們發現了一個不可思議的現象:有些設備或指紋節點,無論我們發送什麼請求消息,總會向我們返迴響應信息。這到底是怎麼回事呢??
SysDescr OID(系統描述):SNMP命令,對應一個描述設備系統的特定廠商字元串標識符。
如前所述,按理來說,SNMP v1和v2的身份認證只接受保存在SNMP客戶端身份驗證機制中的數據值,但從以上我們的研究結果來看,這種情況似乎與SNMP定義規範不相符合,存在出入。
最終,我們發現了SNMP協議存在的問題:可以使用任意字元串或整數值來對某些特定SNMP客戶端設備進行身份驗證,繞過其安全認證機制,但更糟糕的還在於,甚至可以利用任意字元串或整數值來獲取到這些SNMP設備完整的遠程讀寫(read/write)許可權。該漏洞被歸為不正確的訪問控制類型漏洞,編號為CVE-2017-5135。
漏洞驗證
我們決定選用思科DPC3928SL網關設備作為漏洞測試產品,而經測試證明,該產品是受此漏洞影響最為嚴重的網路設備之一。但思科公司表示,他們早就已經停止對這款型號設備的技術支持服務了,現在這款產品硬體屬於Technicolor公司,於是我們便與Technicolor公司進行漏洞情況意見交換。經過一番郵件交流,Technicolor確認了該產品漏洞,但卻給出了一個我們不能接受的解決方案。
Technicolor公司認為,該漏洞是由於ISP(網路服務提供商)的錯誤配置引起的,與他們的產品無關!這簡直是太滑頭了!好吧,謝謝你的幫助確認和快速回復,我們將繼續深入分析,請拭目以待。
大家可能會有這樣一個疑問:網路上是否還會有其它設備會受到該漏洞影響?是的,沒錯,我們通過測試證明,多家供應商品牌網路設備存在該SNMP協議漏洞,而這也映證了Technicolor公司的錯誤觀點。我們把該SNMP漏洞命名為STRINGBLEED。
我們決定再對全網SNMP協議設備進行一次掃描測試,在請求消息中,我們用大量的隨機哈希值替換了可讀的社區字元串,最終測試結果讓我們大為震驚,竟然有150多種不同的網路設備指紋受該漏洞影響!事實證明,訪漏洞問題並不是由網路服務提供商的錯誤配置所造成的,問題似乎出在了SNMP協議的自身代碼上。
總結
我們在SNMP協議中發現了一個,可以利用任意字元串或整數值來繞過SNMP訪問控制的遠程代碼執行漏洞;
通過該漏洞可以在MIB(管理信息庫)中寫入任意字元串;
可以在無需community string的情況下,輕易地從目標設備中獲取到用戶名密碼等敏感信息;
隨著時間的持續,可能會有更多廠商的多種型號設備會受此漏洞影響,因此,其漏洞修復過程可能並不容易;
Technicolor公司缺乏相應的安全響應和技術分析支持。
漏洞利用PoC
以存在漏洞的192.168.0.1設備為例,其社區字元串(Community String)方式的攻擊如下:
野生PoC
以下PoC經漏洞發現者證明,為Stringbleed的非官方PoC,CVE也證實其中包含危險性測試代碼,請謹慎下載使用!
git clone https://github.com/string-bleed/StringBleed-CVE-2017-5135.git
cd StringBleed-CVE-2017-5135
make && make all
./poc-linux
目前受影響廠商和相關設備(78種型號設備)
5352 —>Zoom Telephonics, Inc
BCW700J —> BN-Mux
BCW710J —> BN-Mux
BCW710J2 —> BN-Mux
C3000-100NAS —> Netgear
CBV734EW —> Castlenet
CBV38Z4EC —>CastleNet
CBV38Z4ECNIT —>CastleNet
CBW383G4J —>CastleNet
CBW38G4J —>CastleNet
CBW700N —> TEKNOTEL
CG2001-AN22A
CG2001—>UDBNA
CG2001—>UN2NA
CG2002 —>UN2NA
CG2200 —>UN2NA
CGD24G-100NAS —> Netgear
CGD24G-1CHNAS —> Netgear
CM5100 —> Netgear
CM5100-511 —> Netgear
CM-6300n —> Comtrend
DCX-3200 —> Arris
DDW2600 —> Ubee
DDW2602 —> Ubee
DG950A —> Arris
DPC2100 —> Cisco
DPC2320 —> Cisco
DPC2420 —> Cisco
DPC3928SL —> Cisco
DVW2108 —> Ubee
DVW2110 —> Ubee
DVW2117 —> Ubee
DWG849 —> Thomson
DWG850-4 —> Thomson
DWG855 —> Thomson
EPC2203 —> Cisco
EPC3212 —> Cisco
IB-8120 —>W21
IB-8120 —>W21E1
MNG2120J —>NET&SYS
MNG6200 —>NET&SYS
MNG6300 —>NET&SYS
SB5100 —> Motorola
SB5101 —> Motorola
SB5102 —> Motorola
SBG6580 —> Motorola
SBG900 —> Motorola
SBG901 —> Motorola
SBG941 —> Motorola
SVG1202 —> Motorola
SVG2501 —> Motorola
T60C926 —> Ambit
TC7110.AR —> Technicolor
TC7110.B —> Technicolor
TC7110.D —> Technicolor
TC7200.d1I —> Technicolor
TC7200.TH2v2 —> Technicolor
THG540 —> Thomson
THG541 —> Thomson
Tj715x —> Terayon
TM501A —> Arris
TM502B —> Arris
TM601A —> Arris
TM601B —> Arris
TM602A —> Arris
TM602B —> Arris
TM602G —> Arris
TWG850-4U —> Thomson
TWG870 —> Thomson
TWG870U —> Thomson
U10C019 —> Ubee
U10C037 —> Ubee
VM1700D —>Kaonmedia
WTM552G —> Arris
WTM652G —> Arris
DCM-704 —> D-Link
DCM-604 —> D-Link
DG950S —> Arris
*參考來源:stringbleed、bleepingcomputer,freebuf小編clouds編譯,轉載請註明來自FreeBuf.com
※Makednslog:讓我們來看一看這款能夠偽造DNS日誌的工具
※新式攻擊使用W3C環境光線感測器來竊取瀏覽器的敏感信息
※俄羅斯黑客組織「Fancy Bear」最新釣魚手段
※公有雲廠商DDoS防護產品競品分析
※Pwnable.tw刷題之calc
TAG:FreeBuf |
※Intel CPU Spoiler漏洞預警
※WordPress插件YITH WooCommerce Wishlist SQL注入漏洞
※Electron曝XSS 漏洞,Atom、VS Code 等受影響
※iOS漏洞——Web View XSS
※印度餐飲點評網Zomato的Reflected XSS漏洞
※Electron 軟體框架漏洞影響眾多熱門應用:Skype、Signal、Slack、Twitch……
※WordPress Simple Social Buttons插件安全漏洞
※頭條:Oracle MICROS PoS存漏洞
※Branch.io漏洞將Tinder,Shopify,Yelp用戶暴露於XSS攻擊下
※實測:Meltdown漏洞對AWS、Azure和DigitalOcean的不同影響
※Intel CPU再曝底層漏洞 攻擊範圍可超越Spectre和Meltdown
※Gradle Plugin Portal:結合點擊劫持和CSRF漏洞實現帳戶接管
※WPSeku-Wordpress漏洞掃描工具
※Kubernetes Kubectl CLI 工具曝出「高危」安全漏洞
※WebKit漏洞影響最新版Apple Safari
※Mirai變成Miori:IoT殭屍網路通過ThinkPHP遠程代碼執行漏洞傳播
※Netflix披露FreeBSD與Linux核心漏洞
※繞過nftables/PacketFilter防火牆過濾規則傳輸ICMP/ICMPv6數據包的漏洞詳解(上)
※Sennhiser HeadSetup 軟體暴漏出中間人 SSL 攻擊漏洞
※Intel CPU 再現新漏洞:預測執行攻擊 L1 Terminal Fault