La mayoría de dispositivos de redes
permiten administrarlos a través del protocolo SNMP, uno de los principales
protocolos de gestión que nos permite acceder y administrar un equipo, es
utilizado ampliamente tanto por routers, módems, puntos de acceso como
servidores, y también dispositivos IoT entre otros. ¿Qué ocurriría si SNMP no
tuviera una configuración segura y se pudiera acceder remotamente y administrar
los equipos? StringBleed nos da la respuesta.
Protocolo SNMP: ¿Qué
es y para qué sirve?
- El protocolo SNMP significa Protocolo Simple de
Administración de Red, este protocolo de la capa de aplicación nos permite
leer la configuración de un determinado dispositivo de manera fácil y
rápida, también nos permite cambiar la configuración. SNMP se incluye en
routers, switches, servidores, impresoras y en un sinfín de dispositivos
de redes debido a que permite la gestión, supervisión y administración de
los dispositivos.
- Los dispositivos tienen en su interior una base de
información de gestión MIB, que es la que tiene todos y cada uno de los
parámetros del router que podremos consultar y modificar si tenemos los
permisos de acceso correspondientes. Actualmente la última versión es
SNMPv3, una versión con novedades muy importantes respecto a la autenticación
y a la seguridad de las comunicaciones. Sin embargo, una gran cantidad de
dispositivos siguen utilizando versiones antiguas como SNMPv1 y SNMPv2,
donde la autenticación se realiza simplemente introduciendo una
determinada cadena en texto plano (llamada cadena de comunidad, o
community string) para leer, y otra cadena de comunidad (o la misma
incluso) para escribir cualquier configuración en el dispositivo.
StringBleed: o cómo
una configuración insegura de SNMP deja vulnerables decenas de dispositivos
- A finales del año pasado, un grupo de investigadores
decidieron probar diferentes combinaciones de cadenas en “community” para
acceder a diferentes dispositivos remotamente. En primer lugar pusieron
cadenas como root, admin, user y vieron que haciendo un snmpget con estas
community, eran capaces de recuperar información de diferentes
dispositivos. Sin embargo, se dieron cuenta de algo muy curioso: había
algunos dispositivos que pusieras lo que pusieras siempre respondían sin
importar el valor utilizado.
- En teoría, para visualizar o escribir información
vía SNMPv1 o v2, es necesario utilizar la misma cadena de comunidad que en
el dispositivo al que se quiere acceder, sin embargo, vieron que esto no
era siempre así, y eran capaces de acceder poniendo cualquier cadena o
valor para autenticar el agente SNMP con éxito. Lo mejor de todo, es que
no solo podías leer toda la información, sino también escribirla, y por
supuesto de manera remota. Es decir, con saber la IP pública de un
dispositivo, y usando SNMP con una cadena cualquiera para la comunidad
tenías acceso de lectura y escritura a todo su sistema operativo.
- Debido al grave fallo de seguridad, se le ha
asignado el CVE-2017-5135, o también conocido como StringBleed. La lista
de dispositivos afectados se cuenta por decenas, equipos de Cisco y
también del fabricante Technicolor son los más afectados. Los
investigadores de este fallo de seguridad siguen buscando más dispositivos
que tengan este gravísimo fallo de seguridad, y es que ya han descubierto
un total de 150 equipos diferentes.
Resumen de las
consecuencias de StringBleed
- Las consecuencias de un dispositivo afectado por
StringBleed son muy graves, y que debido a este fallo de seguridad, usuarios malintencionados podrían leer y
escribir la configuración de nuestros dispositivos, sin necesidad de
credenciales o login de ningún tipo, simplemente usando cualquier valor en
la cadena/entero. Por supuesto, también podrán recuperar contraseñas del
dispositivo y acceder fácilmente a su panel de control vía web.
Más información
·
Web
oficial de StringBleed https://stringbleed.github.io/
Fuente: Redes Zone.net