Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 36, views: 25.075 •

De internetverbinding van tienduizenden Nederlandse organisaties, waaronder overheidsinstellingen, zou af te tappen, te be´nvloeden, over te nemen of stil te leggen zijn door verkeerd geconfigureerde snmp-instellingen in routers en modems, stelt beveiligingsbedrijf ITSX.

ITSX en moederbedrijf Madison Gurkha hebben meer dan de helft van ongeveer 48 miljoen ip-adressen in Nederland gescand op mogelijk kwetsbare snmp-instellingen. Dit protocol, dat al stamt uit 1988, kan worden gebruikt om statistieken op te vragen bij op een netwerk aangesloten apparaten en een klein aantal commando's uit te wisselen. Als het slordig geconfigureerd is, zijn er echter beveiligingsrisico's verbonden aan het inschakelen.

Zo constateerde ITSX dat via meer dan 13.000 ip-adressen alle instellingen en wachtwoorden uit te lezen waren en bij 2294 de routers compleet over te nemen waren. Volgens Ralph Moonen, directeur van ITSX, is het werkelijke aantal kwetsbare organisaties twee keer zo groot, omdat slechts de helft van de Nederlandse IP-adressen is gescand.

Moonen claimt tegenover de Volkskrant bedrijven van het internet af te kunnen gooien, pinbetalingen bij kassa's stil te kunnen leggen en antidiefstalpoortjes uit te kunnen schakelen. Zijn bedrijf heeft de belangrijkste organisaties, zoals banken en internetbedrijven, op het probleem gewezen, maar Moonen zegt niet iedereen te kunnen waarschuwen. "In totaal zijn het er zo veel, dat wij onmogelijk iedereen kunnen informeren." Ook het Nationaal Cyber Security Centrum is ingelicht.

De beveiligingsrisico's van snmp zijn al lang bekend. Onder andere is het protocol kwetsbaar voor aanvallen waarbij gebruik wordt gemaakt van ip-spoofing. In 2004 werd versie 3 van snmp gestandaardiseerd en de wijzigingen bij deze versie waren vooral op beveiliging gericht, maar bij sommige apparaten wordt snmp v3 niet of slechts deels toegepast.

Update, donderdag 12.20: In plaats van 13.000 bedrijven blijkt het om ip-adressen te gaan.

snmp ip-spoofing-aanval

Reacties (36)

Tja. SNMP community public zal ik maar zeggen
hiermee wordt aangetoond dat aparte appliances voor intrusion detection belangrijk zijn geworden voor wie een groot bedrijfsnetwerk beheerd. Als end-point protection je bescherming is, dan ben je eigenlijk al te laat (aanvaller is al binnen).

[Reactie gewijzigd door MrJayMan op 1 november 2012 08:20]

hiermee wordt aangetoond dat aparte appliances voor intrusion detection belangrijk zijn geworden voor wie een groot bedrijfsnetwerk beheerd. Als end-point protection je bescherming is, dan ben je eigenlijk al te laat (aanvaller is al binnen).
met het risico dat ze op het end point lui worden. Een IDS is absoluut niet heilig en zaligmakend en kan zeer zeker ook steken (grote zelfs) laten vallen.

Als je veiligheid wil, moet je het op alle niveaus goed doen.

Maar met budgetten die onder druk staan, en klussen die 'snelsnel' gedaan moeten worden, schiet het 'goed doen' er helaas vaak bij in. Het mag allemaal niets kosten, maar oh wee als er daardoor een lek ontstaat.
Uit de tekst:
De beveiligingrisico's van snmp zijn al heel lang bekend.
Dit klopt. Er zijn ook andere voorbeelden van protocollen met beveiligingsrisico's.

De reden dat implementaties van deze protocollen geen beveiligingsrisico hoeven te zijn is omdat het protocol afgesloten kan worden van het Internet en (deels) van het lokale intranet. SNMP informatie moet nooit direct uitgewisseld worden over het Internet. Daarvoor is het protocol niet gemaakt en er is geen enkele reden om dat wel te doen. Als het Internet als carrier wordt gebruikt, gebruik dan een extra appliance om de gevoelige informatie te versturen (bijvoorbeeld een extranet ofwel VPN).

Het is best kwalijk dat SNMP services openstaan richting het Internet voor zoveel appliances. Nog zorgwekkender is de gedachte dat als hiermee geen rekening is gehouden, met welke andere zaken ook geen rekening zijn gehouden.

[Reactie gewijzigd door The Zep Man op 1 november 2012 08:30]

Bij de bedrijven waar SNMP openstaat naar internet, zal waarschijnlijk ook helemaal niets met SNMP worden gedaan. Die bedrijven weten ook niet het gevaar wat SNMP met zich meebrengt. Als de router ook WiFi verzorgt is de PSK key vaak via de public snmp sectie uit te lezen.

Maar hoelang werden routers en modems niet uitgeleverd waarbij de login gewoon admin, admin was? Bij zeer veel bedrijven (en particulieren) is de router ook de firewall. Het feit dat een router standaard zoveel features heeft aanstaan is vanuit een veiligheidsoogpunt al zeer vreemd.

Als je een router aanschaft hoort deze alleen bereikbaar te zijn via HTTPS via een bedraad netwerk via een login met de username en random (niet gebaseerd op apparaatnaam of MAC) wachtwoord. De rest hoort uit te staan en moet door de gebruiker aan worden gezet.

Net zoals een wizard op veel routers de (eind) gebruiker door de WiFi setup loodst, zouden er ook wizards gemaakt kunnen worden om andere onderdelen te activeren, denk hierbij aan NAT/port-forwarding, uPnP, VPN access, SNMP, overige toegangs mogelijkheden tot het apparaat (SSH, HTTP, etc).

Het is gemakkelijk om direct naar de fabrikanten te wijzen. De meeste bedrijven doen niet zelf zomaar een router/modem aanschaffen. Internet Providers en Automatiseerders welke bedrijfsnetwerken aanleggen hebben hierin een veel grotere verantwoordelijkheid. De fabrikant mag van zijn directe gebruikers verwachten dat zij weten hoe zij het product moeten gebruiken. Als jij een auto koopt, mag Volkswagen er vanuit gaan dat jij kunt rijden en dus de verkeersregels kent. Zij hoeven dus niet in de handleiding te zetten dat als het donker is, dat jij je lichten aan moet doen. Als jij je echter laat rijden, mag jij er weer vanuit gaan dat de chauffeur de regels weet.

Als internet gebruiker (zakelijk of prive) maakt jij gebruik van de diensten van een automatiseerde of provider. Het feit dat zij zo gemakkelijk omgaan met veiligheid is erg verontrustend...
Net zoals een wizard op veel routers de (eind) gebruiker door de WiFi setup loodst, zouden er ook wizards gemaakt kunnen worden om andere onderdelen te activeren, denk hierbij aan NAT/port-forwarding, uPnP, VPN access, SNMP, overige toegangs mogelijkheden tot het apparaat (SSH, HTTP, etc).
Het gebruik of niet gebruik is meer aan GUI experts en hier ga ik mij niet aan branden. Waar ik het wel mee eens ben is dat standaard zoveel mogelijk functionaliteit moet uitstaan en dat het gebruiksvriendelijk is om aan te zetten zonder in te leveren op beveiliging of het besef van (on)beveiliging bij de gebruiker.
Het is gemakkelijk om direct naar de fabrikanten te wijzen. De meeste bedrijven doen niet zelf zomaar een router/modem aanschaffen. Internet Providers en Automatiseerders welke bedrijfsnetwerken aanleggen hebben hierin een veel grotere verantwoordelijkheid. De fabrikant mag van zijn directe gebruikers verwachten dat zij weten hoe zij het product moeten gebruiken. Als jij een auto koopt, mag Volkswagen er vanuit gaan dat jij kunt rijden en dus de verkeersregels kent. Zij hoeven dus niet in de handleiding te zetten dat als het donker is, dat jij je lichten aan moet doen. Als jij je echter laat rijden, mag jij er weer vanuit gaan dat de chauffeur de regels weet.
Nu kom je op een kritiek punt. Het gaat niet alleen om kunnen rijden. Om dat af te dekken hebben wij ook het 'mogen' rijden, wat wordt afgedekt door een rijbewijs. Zolang bedrijven niet verplicht zijn om zich te houden aan een rijbewijs voor de digitale snelweg zullen dit soort problemen nooit verdwijnen.
Als internet gebruiker (zakelijk of prive) maakt jij gebruik van de diensten van een automatiseerde of provider. Het feit dat zij zo gemakkelijk omgaan met veiligheid is erg verontrustend...
Dat zij slecht omgaan met hun eigen veiligheid is niet zo heel erg interessant (daar heb ik als eindgebruiker geen verantwoording over). Een indirect gevolg wat wel veel belangrijker is, is dat bedrijven met gegevens van anderen slecht en onverantwoord omgaan wanneer zij dit in hun bezit hebben.

Hierom pleit ik ook voor meldplicht van informatielekken en vervolging (op de natuurlijke persoon zelf, niet alleen de organisatie) vanaf het hoogste verantwoordingsniveau van de organisatie tot het laagste niveau dat uiteindelijk gaat over de beslissing. Natuurlijk is dit alleen van toepassing bij nalatigheid, om zo te oordelen vanuit redelijkheid en billijkheid. Door de verantwoordelijken en beslissers aan te pakken worden de medewerkers die het moeten uitvoeren en die geen invloed op de beslissing hebben ontzien.

[Reactie gewijzigd door The Zep Man op 1 november 2012 09:34]

SNMP heeft inderdaad niets te zoeken op het publieke internet. Het probleem is zoals gezegd ook dat er niet gerealiseerd wordt dat SNMP aanstaat of niet afgeschermd wordt, maar ook dat bij aanpassingen in de opzet het vergeten wordt en per ongeluk publiek beschikbaar komt.

Jaren geleden heb ik bij UPC zo'n routing + SNMP vulnerability ontdekt waardoor ik elk modem uit kon lezen en kon resetten. Potentieel grote impact door een klein foutje in de routingconfiguratie van het overlaynetwerk.
Providers kunnen toch standaard de router aflezen en resetten. Maken ze daarbij gebruik van een andere techniek ipv snmp?
In ieder geval gebeurt dat in een VLAN buiten het grote boze internet om.
Maar hoe is het in vredesnaam mogelijk om zelfs wachtwoorden uit te lezen? Een apparaat hoort deze informatie toch nooit via snmp vrij te geven? Door de makkelijk te sniffen communities is het inderdaad niet zo moeilijk om snmp om de tuin te leiden en informatie op te vragen, maar wachtwoorden...
ik zou zelfs niet eens weten hoe ik m'n snmp zo zou moeten configureren dat ie dat doet.

(niet helemaal waar, dat weet ik best, maar dan moet je nog best wat idioots doen)
nou als je read en write traps op default hebt openstaan incl een snmp trap destination wordt het wel heel makkelijk.

(of de hacker stelt het voor je in en kan het zo uitlezen...)
als je snmp niet gebruikt, uitzetten....

maar even goed servers, firewalls, routers e.d. die snmp hebben aanstaan voor management zonder enige vorm van beveiliging is wel een beetje dom....

unencrypted management traffic zorg je dat het altijd over een VPN tunnel loopt.

SNMP is niet echt meer iets van deze tijd, tegenwoordig zit in een beetje systeem een webinterface met email mogelijkheid dat in geval van een storing/probleem een mailtje stuurt, veel veiliger in mijn optiek en veel minder schadelijk en veel handiger.

@stefanvangelder; als je traffic snift en een gebruiker erachter gaat naar zijn kleding webshopje via HTTP komt je wachtwoord en username gewoon platte tekst voorbij zeilen.
SNMP niet meer van deze tijd ??

SNMP is nog steeds het protocol om info in een remote monitoring systeem in te lezen en te verwerken, misschien dat het in jouw thuis omgeving niet interessant is maar in professionele omgevingen is het wel degelijk een must.
Moonen claimt tegenover de Volkskrant bedrijven van internet af te kunnen gooien
Wat moet ik me daarbij voorstellen? Zou graag willen lezen hoe dat 'gooien' technisch in elkaar steekt.
En is het niet strafbaar wat dat beveiligingsbedrijf ITSX gedaan heeft?
Gewoon de core router(s) platgooien.
Denk er bijvoorbeeld aan dat een core-router oid. terug naar factory defaults wordt gezet.
Plop. Kun je gelijk niets meer als je erachter zit.

En iets publieks scannen is niet strafbaar.
Dit probleem is toch al bekend zolang internet al bestaat.
Als je kijk 5 jaar geleden hoeveel Cisco routers er wel niet bij top bedrijven stonden met het standaard private-snmp wachtwoord.

Kon je zo de configuratie uitlezen en daarna het root wachtwoord decrypten.

SNMP is een zeer gevaarlijk protocool wat totaal niet aan het internet gekoppeld zou mogen zijn
Dat was toch algemeen bekend dat SNMP onveilig is? Dat ligt gewoon aan de standaard, net als dat 75% van de oude protocollen onveilig zijn en ze overal SSL support hebben toegevoegd om het enigzins veilig te doen overkomen.

Ik vind hun aanpak nou ook niet echt jofel, ze kunnen wel 48 miljoen IP's scannen, maar ze kunnen alleen wat banken en "internetbedrijven" waarschuwen? En valt dit niet gewoon onder computervredebreuk? Ik heb niet het idee dat er ook maar 1 instelling is geweest die ze toestemming heeft gegeven om even hun routers en antidiefstal poortjes op hun netwerk te komen scannen.
Zeg je hier nu echt dat je vindt dat wat zij hebben gedaan slecht is? Heb je liever dat een dergelijk onderzoek niet wordt gedaan en dat vervolgens de kwaadwillenden het zelf wel doen en er gebruik van gaan maken? Dergelijke onderzoeken zijn naar mijn mening gewoon af en toe nodig om mensen weer op de hoogte te stellen.

Wat betreft het informeren van bedrijven, dat is een heel stuk moeilijker dan een geautomatiseerde scan uitvoeren. Als je hele subnets afscant dan krijg je wel de resultaten van je scan, maar weet je niet perse wie daar achter zitten. Alleen bedrijven met hun eigen IP space zijn makkelijk te achterhalen.
Ik zeg niet dat ik het slecht vind, ik vind de manier van aanpak niet goed. Het is namelijk een beetje een open deur intrappen. Oude protocollen zijn kwetsbaar, dat is gewoon een feit. Dan SNMP niet overal wordt voorzien van updates is ook gewoon een feit. Lang niet alle hardware wordt nog voorzien van updates en bedrijven gaan niet voor iedere standaard die wordt uitgebreid nieuwe hardware kopen. Een beetje steektesten houden, dat had ik nog best kunnen waarderen, nu zijn het 48 miljoen adressen. Dat is niet zomaar even een subnetje scannen.
Degenen die kwaad willen hebben deze kennis al lang.

Wat wel bedenkelijk is, is dat men de omvang zo groot brengt wat feitelijk een open uitnodiging is ("probeer nu, grote kans!").
Ik vind hun aanpak nou ook niet echt jofel, ze kunnen wel 48 miljoen IP's scannen, maar ze kunnen alleen wat banken en "internetbedrijven" waarschuwen? En valt dit niet gewoon onder computervredebreuk? Ik heb niet het idee dat er ook maar 1 instelling is geweest die ze toestemming heeft gegeven om even hun routers en antidiefstal poortjes op hun netwerk te komen scannen.
Ik vraag me af of dit onder computervredebreuk valt. Als je in het artikel kijkt:
Moonen claimt tegenover de Volkskrant bedrijven van het internet af te kunnen gooien, pinbetalingen bij kassa's stil te kunnen leggen en antidiefstalpoortjes uit te kunnen schakelen
Nergens staat dat ze het ook daadwerkelijk gedaan hebben. Als ze het scannen, maar er verder niets mee doen, niets binnendringen (alleen zien dat er binnengedrongen kan worden). Dus het lijkt me dat het dan niet onder computervredebreuk valt, gezien ze niet daadwerkelijk iets gedaan hebben.
Dat deden ze bij Google ook, gewoon publiek toegankelijke informatie vinden, maar daar ging bij iedereen het nekvel van overeind staan. Hier hebben ze net zo hard informatie over die apparaten(ze weten wel dat het om pin apparaten en anti diefstal poortjes gaat) gevonden. Het is dus meer geweest dan even kijken of apparaten middels SNMP bereikbaar waren en welke versie er aanwezig was.
Maar hier gaat het om een beveiligingsbedrijf, het is dus wel hun business om het zo maar even te zeggen. Ik denk zelf dat het een goede zaak is voor een beveiligingsbedrijf om door het aantonen van een wijdverspreid security probleem publiciteit te winnen.

Het gaat hier om een legacy probleem wat toch de aandacht verdient.

Wellicht is het ook een probleem wat in de eerste plaats juist door router fabrikanten aangepakt dient te worden.
SNMP hoeft niet per se veilig te zijn. Heeft hoort immers niet thuis op publieke netwerken. SNMP hoort alleen op management VLANs/Subnets thuis waar je ook je monitoring hebt draaien.
SNMP ook wel Security Not My Problem genoemd.
En helaas weten maar weinig sysadmins dat.

Zelfs met ssl beveiliging is het naadje want veel devices zijn met self-signed certs uitgrust.
Self signed is niet perse minder veilig...
Vaak is het inderdaad een kwestie van onwetendheid. Dat dit bij grote bedrijven gebeurt waar, mag je aannemen, toch de wat meer ervaren beheerders rondlopen is kwalijk. Bij kleinere organisaties is het beheer van het eigen IT landschap toch vaak meer iets wat 'erbij' gedaan wordt door wat minder ervaren medewerkers of, erger, is uitbesteed aan kleine beheer-bedrijfjes. En daar zit het grote gevaar. Daar ontbreekt kennis, zonder dat men weet dat de kennis ontbreekt. Dan krijg je dus geactiveerde SNMP daemons met standaard communities die op internet luisteren zoals het artikel beschrijft. Maar omdat men het gevaar niet kent, is het heel moeilijk dat soort organisaties uit te leggen dat ze een probleem vormen voor zichzelf (SNMP) of anderen (open relay smtp is een bekende).
"NIEUW" en "LEK" schreeuwt de volkskrant in zijn kop...

maar het is niet "nieuw" en ook geen "lek" en dit is ook al jaren bekend.

nou goed,
tweakers zwakt het dan nog een beetje af met het woord 'kwetsbaar'...

maar desalniettemin een beetje vreemd om toch deze advertotial in de volkskrant van het bedrijf ITSX klakkeloos 1 op 1 over te nemen aangezien er inderdaad bedrijven zullen zijn die hun beveiliging niet op orde hebben.

what else is new?!
Idd het is geen nieuw lek, het is verkeerd gebruik van een oud protocol.
Al 10jaar geleden was de bijnaam voor snmp al

"Security Not My Problem"

dus inderdaad geen schokkend nieuws hier, het is in de loop der jaren wel iets veiliger geworden maar nog altijd niet veilig.

Op dit item kan niet meer gereageerd worden.



Populair: Samsung Gamecontrollers Smartphones Sony Microsoft Apple Games Consoles Politiek en recht Smartwatches

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013