Hrozba pro síťová zařízení

Celou řadu síťového vybavení včetně switchů, routerů, hubů, tiskáren nebo skenerů i serverů pod nejrůznějšími...


Celou řadu síťového vybavení včetně switchů, routerů, hubů, tiskáren nebo
skenerů i serverů pod nejrůznějšími operačními systémy lze spravovat
prostřednictvím protokolu SNMP. V něm byly nedávno objeveny chyby, které tato
zařízení mohou dát všanc útočníkům.
Práce uveřejněná výzkumnými pracovníky finské univerzity v Oulu podrobně
popisuje, jak by zranitelná místa v protokolu SNMP (Simple Network Management
Protocol) verze 1, jenž je široce využíván pro správu jednotlivých prvků
počítačových sítí, mohla být zneužita k narušení systémů prostřednictvím DoS
(denial-of-service) útoku, či jak by díky nim mohl hacker zmiňovaná zařízení
ovládnout.
"Má to vliv v zásadě na celý internet," komentuje tuto záležitost Chris
Rouland, ředitel skupiny X-Force ISS (Internet Security Systems), která se
zabývá vyhodnocováním rizik. Problém postihuje Linux, Solaris, BSD, routery,
switche, huby i síťové tiskárny. "Jde o nejrozšířenější bezpečnostní chybu, na
kterou si vzpomínám," říká Rouland. Velice dlouhý seznam zařízení ohrožených
chybami v SNMP je k nalezení na webových stránkách koordinačního centra CERT
(www.
cert.org), jež na problém veřejně upozornilo jako první.
Útočník by mohl zneužít slabých stránek odhalených v celkem šesti oblastech
SNMP, a způsobit tak nefunkčnost zařízení nebo nad nimi získat kontrolu: jedná
se o výjimky přetečení (overflow exceptions), výjimky ve formátu řetězců
(format-string exceptions), v bitovém vzorku (bit-pattern exceptions), v
základních kódovacích pravidlech, o problém chybějících znaků (missing symbol
exceptions) a o výjimky v celočíselných hodnotách (integral-value exceptions).

Nástroje
Finská univerzita dala k dispozici nástroje v jazyce Java, jež demonstrují
některé ze zmíněných útoků. "Dnes jde jen o záležitost denial-of-service. Ale
někdo jistě brzy napíše nástroje, které umožní širší druhy útoků k ovládnutí
systémů," vysvětluje Rouland.
Přibližně 40 výrobců, kteří údajně o daném problémů věděli několik týdnů před
jeho zveřejněním, již předalo CERTu svá hlášení. AdventNet, Avaya, CacheFlow,
3Com, Cisco a Caldera poskytly podrobný seznam zranitelných výrobků. Společnost
Computer Associates uznala, že se problém nevyhnul ani jejímu produktu pro
správu sítě Unicenter. Problém se týká operačního systému HP-UX od HP i
některých verzí produktů Microsoftu (mezi ně nepatří Windows XP). Seznam čítá
celkem 20 stran. Několik firem sdělilo, že jejich produkty nejsou chybou
ohroženy mezi nimi IBM a její AIX nebo produkty Covalent Technologies. Poté, co
představitelé průmyslu dva týdny v co největší tajnosti debatovali o daném
problému, měla již při zveřejnění problému většina výrobců k dispozici buď
softwarové záplaty, nebo alespoň plány na jejich přípravu. U některých produktů
je SNMP v1 aktivováno již ve výchozí konfiguraci. Experti na bezpečnost
doporučují vypnout SNMP nebo blokovat SNMP provoz, který nepřichází přímo z
firemní sítě.

Opatření
"Jen velmi schopný hacker by uměl využít některých těchto zranitelných míst,"
tvrdí Jerry Brady, technologický ředitel společnosti Guardent. Přesto se firma
Guardent, která zajišťuje správu zabezpečení pro 300 zákazníků, rozhodla
přijmout preventivní opatření, která zabrání SNMP provozu ze systémů mimo firmu
v přístupu k důvěryhodným systémům uvnitř podnikových sítí. "Poskytujeme zde
podporu spočívající v úplném zablokování protokolu," řekl Brady. Guardent hodlá
tento postup zachovat až do doby, než budou zařízení zákazníků opravena a
otestována na odolnost vůči chybám v SNMP.
Chris Rouland z ISS doporučuje zajistit, aby všechna zařízení používající SNMP
v1 byla nakonfigurována tak, aby je bylo možno spravovat výhradně ze síťové
konzole pro správu. ISS také připravila aktualizace signatur svých produktů pro
detekci narušení bezpečnosti tak, aby braly v úvahu toto nově zjištěné
zranitelné místo.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.