Координационный центр группы CERT выступил с сообщением о том, что широкий спектр сетевого оборудования, используемого в Internet (включая коммутаторы, маршрутизаторы, концентраторы, принтеры и операционные системы), может быть уязвимым к атакам на базе SNMP. Они могут привести к сбою данного оборудования, более того, злоумышленники могут даже взять его под контроль.
В статье, опубликованной исследователями Университета Оулу (Финляндия), дано детальное описание уязвимых мест и показано, каким образом может быть использован SNMPv1, чтобы нарушить нормальную работу системы или предоставить хакеру возможность получить контроль над оборудованием.
«По сути, затронуты все основные элементы Internet», - так прокомментировал сообщение CERT руководитель группы оценки угроз X-Force из Internet Security Systems. Затронуто все: Linux, Solaris, BSD, маршрутизаторы, коммутаторы, концентраторы. Это «самая серьезная по своим масштабам проблема безопасности, о которой когда-либо сообщалось».
Весьма внушительный список оборудования, чувствительного к данной проблеме SNMP, опубликован на Web-сайте CERT.
Ожидается, что Cisco Systems вскоре выпустит бюллетень с рекомендациями, касающимися безопасности оборудования компании. Однако эксперты по безопасности полагают, что коммутаторы, концентраторы и маршрутизаторы Cisco действительно уязвимы и что положение очень серьезно. Сама Cisco пока воздерживается от комментариев.
Злоумышленники могут воспользоваться слабыми местами, имеющими отношение к шести классам уязвимости: состоянию переполнения, некорректному формату строки, битовой маски, основными правилам-кодирования, отсутствию символа и целостности значений. Этого более чем достаточно, чтобы вывести оборудование из онлайнового режима или получить контроль над ним.
Исследователи из финского университета опубликовали Java-инструментарий, позволяющий продемонстрировать некоторые из этих атак, сообщил сотрудник Internet Security Systems.
Он подчеркнул, что пока это только «демонстрационные примеры атак типа «отказ в обслуживании». Однако наверняка найдутся те, кто напишет аналогичные программы для серьезных крупномасштабных атак, чтобы получить контроль над системами.
Пока что в CERT обратилось около 40 поставщиков, которые знают о существовании данной проблемы уже не первую неделю. AdventNet, Avaya, cacheFlow, 3Com и Caldera подробно перечислили продукты, которые являются уязвимыми.
Computer Associates признала, что ее управляющая платформа Unicenter также подвержена риску. Уязвимы и системы, работающие под управлением операционной системы HP-UX от Hewlett-Packard, а также snmpd и OpenView. Весь список занял около 20 страниц.
Несколько поставщиков заявили о том, что угрозы для их продуктов не существует (например, для А1Х от IВМ или решений компании Covalent Technologies).
Поскольку в сетевой индустрии эта проблема какое-то время обсуждалась без излишнего афиширования (насколько это возможно), большинство поставщиков уже имеет соответствующие программные «патчи» или планирует предложить их в ближайшее время.
Некоторые продукты поставляются с SNMPv1, включенным по умолчанию. Эксперты по безопасности советуют отключить SNMP или заблокировать SNMP-трафик, который не контролируется непосредственно корпоративными средствами сетевого управления.
Как считает директор компании Guardent, отвечающий за технологии, чтобы воспользоваться каким-либо из этих уязвимых мест, «хакер должен быть очень высокой квалификации».
Guardent, обеспечивающая сервисы управления безопасностью для 300 компаний, решила изолировать надежные системы в корпоративных средах от SNMP-трафика, поступающего от ненадежных систем. Компания обеспечивает «просеивание трафика», полностью блокируя этот протокол, отметил представитель Guardent.
Компания намерена поддерживать этот режим работы до тех пор, пока на пользовательское оборудование не установят соответствующие «патчи», а сами аппаратные средства не будут протестированы на неуязвимость к проблемам SNMP.
По прогнозам представителя Guardent, могут возникнуть сложности с инсталляцией программных «патчей» на таких системах, как маршрутизаторы. Он и многие другие менеджеры ожидают комментариев со стороны Cisco относительно того, в какой степени данная проблема затрагивает оборудование Cisco.
Сотрудник ISS советует сконфигурировать все устройства, которые используют SNMPv1, таким образом, чтобы допускать только SNMP-трафик от «надежной» консоли сетевого управления.
ISS также подготовила обновления сигнатур для своих продуктов обнаружения вторжений и сканирования, чтобы иметь возможность распознавать эти новые уязвимые места.
Если пользователи или сервис-провайдеры сталкиваются с необъяснимыми отказами в работе оборудования, им настоятельно рекомендуют обратиться в CERT.
Хотя на данный момент имеются лишь слабые признаки того, что хакеры уже используют эти уязвимые места (возможно, по той причине, что с этим не так-то просто разобраться, даже ознакомившись с материалами финского университета по этому вопросу), ситуация может внезапно измениться, поскольку проблемы SNMPv1 уже получили широкую огласку.
Представитель ISS полагает, что самому большому риску подвергаются домашние пользователи, имеющие кабельные модемы и DSL-доступ в Internet.
«Хакеры посчитают их легкой добычей», - прогнозирует он.
