1 de mayo de 2017

STRINGBLEED. Acceso a remoto a dispositivos en modo administrador. por configuración incorrecta de SNMP

La mayoría de dispositivos de redes permiten administrarlos a través del protocolo SNMP, uno de los principales protocolos de gestión que nos permite acceder y administrar un equipo, es utilizado ampliamente tanto por routers, módems, puntos de acceso como servidores, y también dispositivos IoT entre otros. ¿Qué ocurriría si SNMP no tuviera una configuración segura y se pudiera acceder remotamente y administrar los equipos? StringBleed nos da la respuesta.
Protocolo SNMP: ¿Qué es y para qué sirve?
  • El protocolo SNMP significa Protocolo Simple de Administración de Red, este protocolo de la capa de aplicación nos permite leer la configuración de un determinado dispositivo de manera fácil y rápida, también nos permite cambiar la configuración. SNMP se incluye en routers, switches, servidores, impresoras y en un sinfín de dispositivos de redes debido a que permite la gestión, supervisión y administración de los dispositivos.
  • Los dispositivos tienen en su interior una base de información de gestión MIB, que es la que tiene todos y cada uno de los parámetros del router que podremos consultar y modificar si tenemos los permisos de acceso correspondientes. Actualmente la última versión es SNMPv3, una versión con novedades muy importantes respecto a la autenticación y a la seguridad de las comunicaciones. Sin embargo, una gran cantidad de dispositivos siguen utilizando versiones antiguas como SNMPv1 y SNMPv2, donde la autenticación se realiza simplemente introduciendo una determinada cadena en texto plano (llamada cadena de comunidad, o community string) para leer, y otra cadena de comunidad (o la misma incluso) para escribir cualquier configuración en el dispositivo.
StringBleed: o cómo una configuración insegura de SNMP deja vulnerables decenas de dispositivos
  • A finales del año pasado, un grupo de investigadores decidieron probar diferentes combinaciones de cadenas en “community” para acceder a diferentes dispositivos remotamente. En primer lugar pusieron cadenas como root, admin, user y vieron que haciendo un snmpget con estas community, eran capaces de recuperar información de diferentes dispositivos. Sin embargo, se dieron cuenta de algo muy curioso: había algunos dispositivos que pusieras lo que pusieras siempre respondían sin importar el valor utilizado.
  • En teoría, para visualizar o escribir información vía SNMPv1 o v2, es necesario utilizar la misma cadena de comunidad que en el dispositivo al que se quiere acceder, sin embargo, vieron que esto no era siempre así, y eran capaces de acceder poniendo cualquier cadena o valor para autenticar el agente SNMP con éxito. Lo mejor de todo, es que no solo podías leer toda la información, sino también escribirla, y por supuesto de manera remota. Es decir, con saber la IP pública de un dispositivo, y usando SNMP con una cadena cualquiera para la comunidad tenías acceso de lectura y escritura a todo su sistema operativo.
  • Debido al grave fallo de seguridad, se le ha asignado el CVE-2017-5135, o también conocido como StringBleed. La lista de dispositivos afectados se cuenta por decenas, equipos de Cisco y también del fabricante Technicolor son los más afectados. Los investigadores de este fallo de seguridad siguen buscando más dispositivos que tengan este gravísimo fallo de seguridad, y es que ya han descubierto un total de 150 equipos diferentes.
Resumen de las consecuencias de StringBleed
  • Las consecuencias de un dispositivo afectado por StringBleed son muy graves, y que debido a este fallo de seguridad,  usuarios malintencionados podrían leer y escribir la configuración de nuestros dispositivos, sin necesidad de credenciales o login de ningún tipo, simplemente usando cualquier valor en la cadena/entero. Por supuesto, también podrán recuperar contraseñas del dispositivo y acceder fácilmente a su panel de control vía web.
Más información
·        Web oficial de StringBleed https://stringbleed.github.io/
Fuente: Redes Zone.net