Vulnerabilidades en SNMP

El mundo de la seguridad se vio sobresaltado ayer por la tarde por una importante noticia, extraída de Noticias Hispasec sobre seguridad, el descubrimiento de una serie de vulnerabilidades en la mayoría de implementaciones del protocolo SNMP. El problema es tal, que cientos de dispositivos, sistemas y fabricantes se ven afectados. SNMP (Simple Network Management Protocol) es un protocolo estándar para la administración de red en Internet. Prácticamente todos los sistemas operativos, routers, switches, modems cable o ADSL modem, firewalls, etc. se ofrecen con el servicio SNMP.

En general cualquier fabricante o producto que soporte el protocolo SNMP puede verse afectado por estos problemas (ordenadores, sisteams operativos, routers, switches, nodos de acceso, etc.). Estas vulnerabilidades pueden permitir el acceso a privilegios no autorizados, ataques de denegación de servicio o provocar comportamientos inestables.

La versión 1 del protocolo SNMP (SNMPv1) define múltiples tipos de mensajes SNMP que se emplean para petición de información o cambios de configuración, respuestas de las peticiones, enumeración de objetos SNMP y envío de alertas. El OUSPG, Grupo de Programación Segura de la Universidad de Oulu (Finlandia), ha reportado numerosas vulnerabilidades en las implementaciones SNMPv1 de diferentes dispositivos de un gran número de fabricantes.

Existe una herramienta diseñada para enviar cientos de eventos de prueba a los demonios SNMP desde un sistema remoto para descubrir fallos de programación o vulnerabilidades explotables. Esta herramienta tiene capacidades para provocar la caída de demonios SNMP y dispositivos hardware que ejecuten SNMP.

El OUSPG ha desarrollado una suite de aplicaciones bajo el nombre de PROTOS, diseñada para enviar cientos de pruebas a los demonios SNMP desde un sistema remoto con el objetivo de descubrir fallos de configuración o vulnerabilidades explotables. Esta herramienta tiene la capacidad de provocar la caída de demonios SNMP y dispositivos de hardware con SNMP.

Si se emplea un sistema con SNMP se recomienda revisar su configuración y proceder a una correcta configuración del sistema. Estas vulnerabilidades pueden causar problemas de denegación de servicios, interrupciones de servicio e incluso permitir al atacante conseguir acceso sobre el dispositivo afectado.

Como medidas para evitar los problemas se recomienda:

Aplicar el parche correspondiente del vendedor del producto afectado.

Por otra parte se recomienda deshabilitar el servicio SNMP. Si bien en algunos casos los productos afectados pueden presentar un comportamiento inesperado o denegaciones de servicio incluso si SNMP no se encuentra activo.

También se recomienda, como medida temporal para limitar el alcance de estas vulnerabilidades, bloquear el acceso a los servicios SNMP en la red perimetral.

Otra medida recomendada es cambiar las "community strings" por defecto. Esto es debido a que una gran parte de los productos se distribuyen con "comunities" de acceso sólo lectura como "public" y "private" para acceso de escritura. Se recomienda cambiar estas cadenas por defecto por algo a elección del administrador.

En este caso cabe felicitar la labor realizada por el CERT/CC en su aviso de seguridad, ya que cubre de una forma adecuada todos los fabricantes afectados y las medidas recomendadas para cada caso. Recomendamos a todos los administradores que hagan uso de este protocolo consulten dicho aviso y las páginas de los productos que puedan verse afectados.