Einzelheiten der Verwundbarkeit
Obwohl SNMP schon seit geraumer Zeit eingesetzt wird, hat CERT erst kürzlich ein Gutachten (CA-2002-03) veröffentlicht, das zwei der wichtigsten Sicherheitslöcher aufzeigt, die vor kurzem von der finnischen Oulo University Secure Programming Group (OUSPG) entdeckt wurden. Diese Entdeckung geschah im Rahmen des an dieser Universität laufenden Protokolltest-Projekts (PROTOS – Security Testing of Protocol Implementations).
Das Problem besteht nicht nur aus einem einzelnen kleinen Bug, sondern aus einer Reihe von größeren Sicherheitslücken in mehreren Bereichen der als SNMPv1 bekannten ersten Version von SNMP. Dies ist ein altes Protokoll und es gibt auch neuere Versionen. Aber leider implementieren die meisten Hersteller die erste Version, wodurch es sich hier um eine sehr weit verbreitete Bedrohung handelt.
Die erste Sicherheitslücke (VU#107186) bezieht sich auf den Umgang von SNMP mit Ereignismeldungen (Trap-Messages). SNMP-Trap-Messages werden benutzt, um Fehlermeldungen weiterzuleiten, und die OUSPG beschreibt eine Reihe von Problemen damit, wie SNMP solche Meldungen dekodiert und verarbeitet.
Das zweite Problem (VU#854306) findet sich in den Manager-to-Agent Request-Messages. Bis es hierfür Patches gibt, besteht der einzige Weg, Systeme mit SNMP zu schützen, leider nur darin, diese Funktion vorübergehend zu deaktivieren.
Bedrohungsgrad: Mittel
Das sich aus diesem Fehler ergebende Zerstörungspotenzial ist beträchtlich und kann zu Denial-of-Service (DoS) Ereignissen führen oder dazu, dass Angreifer in die Lage versetzt werden, jeden beliebigen Code auf dem angegriffenen System auszuführen. Es ist jedoch allgemein bekannt, dass SNMP ein unsicheres Protokoll ist, dass nie dafür geschaffen wurde, zwischen vertraulichen Systemen (Trusted Systems) zum Einsatz zu kommen. Deshalb wird diese Sicherheitslücke, obgleich sie relativ leicht auszunutzen ist, sich möglicherweise nicht zu einem großen Problem auswachsen.
Administratoren, die sich bereits mit den SNMP-Schwächen beschäftigt und sich um Lösungen bemüht haben, werden möglicherweise von diesem Fehler gar nicht betroffen sein. Wer sich jedoch für das Internet-basierte Netzwerkmanagement auf SNMP verlässt und sich bisher entweder nicht über SNMPs Sicherheitsmängel bewusst war oder sich noch nicht um Gegenmaßnahmen bemüht hat, sollte sofort entsprechende Schritte einleiten.
Da die UDP-Ports 161 und 162 von SNMP normalerweise von einer gut eingestellten Firewall geschlossen werden, sind die meisten von einer Firewall geschützten Systeme nur gegenüber internen Attacken verwundbar, wenn diese auf den angesprochenen Sicherheitslücken basieren.
Anwendbarkeit
Diese Bedrohung betrifft annähernd 200 Systeme verschiedener Hersteller. Um den SNMP-Problemen bei seinen Systemen gegenüberzutreten hat Microsoft MS02-006 veröffentlicht. Obwohl alle Windows-Versionen (mit Ausnahme von ME) mit SNMP als optionaler Komponente ausgeliefert werden, ist es jedoch nicht standardmäßig in jeder Version implementiert. Dadurch wird die Bedrohung für Windows-Systeme beträchtlich reduziert.
Trotzdem wird SNMP aber häufig eingesetzt und jedes Netzwerk, das SNMP verwendet, ist potenziell verwundbar. An der UNIX-Front hat FreeBSD SNMP nicht in sein Basispaket implementiert, die Installationen sind also nicht verwundbar, außer man hat auch die Ports Collection von FreeBSD installiert. IBM berichtete, dass Tests an seinem AIX-System bewiesen hätten, dass seine Version von SNMP nicht verwundbar wäre.
Für weitere Informationen über spezifische Software und Hardware können Sie von verschiedenen Herstellern bereitgestellte Informationen im CERT Bulletin Appendix finden.
Neueste Kommentare
Noch keine Kommentare zu SNMP-Fehler: DoS-Angriffe und instabile Netzwerke
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.