 |
|
A Rede | Serviços | Operação | Segurança | P&D | Capacitação | Eventos |
 | Alertas do CAIS ALR-13022002Múltiplas Vulnerabilidades no SNMP [CAIS, 13.02.2002, revisão 01] RESUMO Nas últimas horas têm sido divulgados diversos alertas tratando da identificação de múltiplas vulnerabilidades em várias implementações do protocolo SNMP. As vulnerabilidades descobertas podem permitir acesso privilegiado não autorizado, ataques DoS ou ainda, causar comportamento instável. O impacto pode variar de produto para produto, de acordo com a implementação do SNMP. O CAIS pede atenção especial às informações divulgadas no presente alerta. Caso a sua rede utilize o SNMP, por favor, leia atentamente este alerta, consulte as recomendações dos respectivos fabricantes, procedendo com as devidas correções urgentemente. DETALHES E IMPACTO O SNMP, Simple Network Management Protocol, é o protocolo padrão para gerenciamento de redes TCP/IP. Basicamente, o SNMP trabalha com três tipos de mensagens: get, para solicitar informações; set, para modificar configurações e trap, para as funções de gerência. Tais mensagens SNMP, quando mal-formadas e recebidas pelos sistemas vulneráveis, podem causar falhas em determinadas funções, culminando no crash do sistema ou ainda, causando sucessivas reinicializações do mesmo. Dessa maneira, tais vulnerabilidades podem criar condições para ataques de denial-of-service, interrupções nos serviços ou ainda, permitir ao atacante o acesso não autorizado ao sistema vulnerável. ALERTAS E DOCUMENTOS RELACIONADOS Em anexo, encontra-se o alerta divulgado pelo CERT/CC, CERT Advisory CA-2002-03: Multiple Vulnerabilities in Many Implementations of the Simple Network Management Protocol (SNMP), disponível também em: http://www.cert.org/advisories/CA-2002-03.html Além deste, o CAIS recomenda fortemente a leitura e consulta dos seguintes alertas: SANS Institute:
CIAC M-042: Multiple Vulnerabilities in Multiple Implementations of SNMP http://www.ciac.org/ciac/bulletins/m-042.shtml CISCO
Observa-se que o SNMP já era conhecido como causa de insegurança nas redes que o utilizam, tanto que constitui uma das 20 Vulnerabilidades Mais Críticas de Segurança na Internet, segundo a lista, de mesmo nome, mantida pelo SANS/FBI, disponível em: SANS/FBI Top 20 em português: http://www.sans.org/Top20_Portuguese.php IDENTIFICADORES DO CVE CAN-2002-0012 e CAN-2002-0013 SOLUÇÃO As recomendações são: 1. Desabilite o SNMP. Caso precise realmente mantê-lo ativo, então considere as recomendações a seguir. Atente para o fato de que, em alguns testes, mesmo com o SNMP desativado, certos sistemas apresentaram problemas. Deste modo, a recomendação é desativar o SNMP e ainda assim proceder com regras de filtragem, como mostra o item 3. 2. Aplique os patches e correções disponibilizadas pelos fabricantes. Referências e informações adicionais podem ser encontradas no Apêndice A, do alerta CERT Advisory CA-2002-03. 3. Filtre o tráfego SNMP em seu roteador, atentando para os eventuais impactos desta filtragem para seus serviços. As principais portas a serem filtradas são: 161 udp e tcp, 162 udp e tcp, além da 1993 udp e tcp. 4. Altere a community-name padrão do SNMP, usando uma string de difícil adivinhação. 5. Nos casos em que seja impossível filtrar ou desativar o SNMP, uma solução recomendável é separar o tráfego SNMP, confinando-o numa rede separada. Para tanto, as tecnologias de VLANs ou VPNs podem ser úteis. ATENÇÃO, as recomendações acima, quando usadas separadamente, não garantem que o sistema não esteja vulnerável. Por favor, para maiores detalhes sobre correção e solução das vulnerabilidades do SNMP, consulte o alerta do CERT/CC e os alertas dos fabricantes.
|  Assinatura dos Alertas do CAIS Assine a lista de alertas do CAIS e receba antecipadamente, por correio eletrônico, as mais recentes notificações sobre segurança em redes e sistemas. Formulário de assinatura dos Alertas do CAIS
Contato com o Cais: +55 (19) 3787-3300 |
