Alerta do CAIS ALR-05062003

Aumento de atividade na porta 161 - SNMP

[CAIS, 05.06.2003, revisão 01]

Nas últimas semanas, o CAIS tem identificado um aumento considerável de atividade de reconhecimento nas portas 161/tcp e 161/udp. O registro e análise de tal atividade foi possível graças aos mecanismos de monitoramento de acesso a portas mantido pelo CAIS.

As portas mencionadas são normalmente utilizadas pelo SNMP, Simple Network Management Protocol, protocolo amplamente usado no gerenciamento de redes TCP/IP.

As varreduras nas portas 161 têm resultado na geração dos seguintes alertas do Snort:

[**] [1:1417:2] SNMP request udp [**]
[**] [1:1418:2] SNMP request tcp [**]
[**] [1:1420:2] SNMP trap tcp [**]
[**] [1:1421:2] SNMP AgentX/tcp request [**]
[**] [1:1411:3] SNMP public access udp [**]
[**] [1:1413:2] SNMP private access udp [**]

Durante a análise do CAIS, percebeu-se que estes alertas podem ocorrer isoladamente ou em conjunto, como mostrado acima. Assim também, eles podem estar, ou não, acompanhados do seguinte alerta do Snort:

[**] [1:469:1] ICMP PING NMAP [**]

A este respeito, o CAIS gostaria de lembrar das conhecidas e amplamente divulgadas vulnerabilidades de segurança associadas ao protocolo SNMP. Em particular, ressalta-se as múltiplas vulnerabilidades identificadas e anunciadas no início do ano de 2002 (veja referências abaixo). Desde então, tem se discutido sobre o eventual desenvolvimento de ferramentas capazes de explorar tais problemas.

Maiores informações sobre as mais recentes vulnerabilidades no protocolo SNMP podem ser obtidas nas seguintes URLs:

CERT Advisory CA-2002-03: Multiple Vulnerabilities In Many Implementations of the Simple Network Management Protocol (SNMP)
http://www.cert.org/advisories/CA-2002-03.html

Múltiplas Vulnerabilidades no SNMP
http://www.rnp.br/cais/alertas/2002/cais-ALR-13022002.html

Simple Network Management Protocol (SNMP) Vulnerabilities Frequently Asked Questions (FAQ)
http://www.cert.org/tech_tips/snmp_faq.html

Neste sentido, ressalta-se a importância na atualização e configuração dos serviços SNMP em razão da sua larga utilização em equipamentos estratégicos para a infra-estrutura de redes (roteadores, switches, etc.) e da possibilidade de serem alvos de um ataque com resultados potencialmente sérios.

O CAIS propõe ainda que sejam questionadas e avaliadas as reais necessidades de se manter habilitado este serviço em alguns sistemas e dispositivos de rede, sem um propósito definido. Caso a necessidade deste serviço seja confirmada, recomenda-se que ele seja devidamente configurado a fim de se restringir o acesso ao mesmo.

Por último, o CAIS recomenda aos administradores que fiquem atentos a atividade análoga à reportada neste alerta, nas redes sob sua responsabilidade.

Listas de alertas publicados:
2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998

Assinatura dos Alertas do CAIS

Assine a lista de alertas do CAIS e receba antecipadamente, por correio eletrônico, as mais recentes notificações sobre segurança em redes e sistemas.

Formulário de assinatura dos Alertas do CAIS

Formulário de assinatura

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais