|
El protocolo simple de gestion de red (SNMP) es habitualmente utilizado por los administradores de red para la monitorizacion y administracion de todo tipo de dispositivos conectados a la red, desde
encaminadores hasta impresoras pasando por ordenadores. SNMP utiliza, como unico mecanismo de autenticacion, un "nombre de comunidad" que se envia sin encriptar. Si la falta de encriptacion ya de por
si es mala, peor aun es que la mayor parte de los dispositivos SNMP utilizan como comunidad por omision la palabra "public"; algunos fabricantes 'inteligentes' de dispositivos de red han cambiado el nombre y
utilizan la palabra "private".
Los atacantes pueden utilizar esta vulnerabilidad del SNMP para reconfigurar o detener, de forma remota, los dispositivos. La captura del trafico SNMP, por otra parte, puede revelar una gran
cantidad de informacion sobre la estructura de la red asi como de los dispositivos y sistemas conectados a la misma. Esta informacion es muy util para los atacantes, en vistas a la seleccion de blancos para sus
ataques.
Sistemas afectados
Todos los sistemas y dispositivos de red.
Registro CVE:
Nombre de comunidad (public) SNMP en blanco o por omision - CAN-1999-0517
Nombre de comunidad SNMP facilmente identificable - CAN-1999-0516
Nombres de comunidad SNMP ocultos - CAN-1999-0254, CAN-1999-0186
Estos registros candidatos seran, con toda probabilidad, ampliamente modificados antes de ser aceptados como registros CVE.
Consejos para la resolucion del problema:
- Si no se utiliza SNMP, deshabilitarlo.
Si se utiliza SNMP, utilizar la misma politica utilizada para las contrasenas, descrita en el punto 8, para los nombres de comunidad.
- Validar y verificar los nombres de comunidad mediante snmpwalk.
Siempre que sea posible, configurar los MIBs en modalidad de solo lectura.
Informacion adicional:
http://www.cisco.com/univercd/cc/td/doc/cisintwk/ito_doc/snmp.htm#xtocid210315
|
