Bugs in SNMP-code bedreigen veiligheid internet

CNet meldt dat een aantal grote bugs in het SNMP (Simple Network Management Protocol) de veiligheid op het internet in gevaar brengt. Het SNMP wordt veel gebruikt in routers, switches en andere netwerk-apparatuur. Hierdoor heeft een bug in dit protocol grote gevolgen. Het Computer Emergence Control Team had al eerder opgeroepen tot het testen van apparatuur die wordt aangestuurd via het SNMP. Naast netwerkapparatuur zijn ook bepaalde medische apparaten en digitale camera's kwetsbaar.

Het probleem met de software is dat het nooit bedoeld was om veilig te zijn. SNMP was simpelweg bedoeld om te werken. Toen het protocol in 1980 werd ontwikkeld werd eenvoudigweg niet geprogrammeerd met in het achterhoofd dat het programma ook veilig zou moeten zijn. De laatste versie van het protocol, versie 3, is al veel veiliger en stopt een groot aantal beveiligingsgaten dicht, maar deze versie is nog niet wijdverbreid. Veel bedrijven waren verrast dat de bugs nu al in de publiciteit kwamen en hebben nog geen patches uitgebracht:

After a meeting last week with major telecommunications providers, word of the SNMP security problems started leaking out, said one source, who requested anonymity. The leaks broke almost five months of near silence. As rumors started circulating around the Internet about the flaw, CERT officials--worried the hints would spur hackers to look more closely at SNMP--rushed the release of an advisory. CERT released the warning at 10 a.m. PST on Tuesday with various companies' responses.

The speed with which the advisory was published caught many companies--including Silicon Graphics, Sun, Microsoft, Red Hat and Cisco--by surprise, leaving them unable to get patches up immediately. "We have identified the vulnerabilities and are producing patches," said Steve Langdon, a spokesman for network hardware maker Cisco.

Lees meer

IT-banen

Reacties (49)

buum 13 februari 2002 13:03

Ai ai ai..... Alhoewel ze al maanden bekend zijn dus, waren er nog geen maatregelen genomen. Ik kan je garanderen dat menig hacker er binnenkort een (snmp) speeltje bij heeft.

Overigens blijft snmp zo lek als een mandje zonder goed beheer, als je je strings niet goed zet (neem even bijvoorbeeld 'public') kun je zonder veel problemen interfaces down gooien bijvoorbeeld bij een router. Verbazingwekkend dus dat dit soort dingen niet eerder al in het nieuws gekomen zijn.

Sardia @buum • 13 februari 2002 13:17

cummunity strings gaan plain-text over het net; om andere te kiezen dan "public" en/of "private" heeft gering nut.
filtering op ip-address is nuttiger, maar zeker niet veilig.

Het is zelfs gebleken dat als je snmp uitzet dat je nog steeds kwetsbaar kunt zijn(!). (bron: www.cert.org).

Minotaur @Sardia • 13 februari 2002 16:16

Sorry maar filteren op ip-adressen is ook zeker niet veiliger.
SNMP maakt nog altijd gebruik van UDP, en als iets makkelijk te spoofen is dan is dat wel via UDP.

DJSmiley @buum • 13 februari 2002 16:31

Idd, zelfs een public string doet meer dan menig sysop denkt.

Chello bv heeft op hun routers gewoon public actief. Een gateway bv heeft gewoon info online staan, 213.46.90.1.
Via snmp public lees je gewoon de vlans uit, ip ranges, contact info (incl een tel.nr dat dus niet voor buiten bestemd is)

Slim?? nee... errug handig als je wat wil, een ip range is dan al erg handig om te hebben.

Veranderen in dan nog punt 2, maar toch....

Minotaur @DJSmiley • 13 februari 2002 19:57

Hey, waarom zeg je dat nou ?
Zometeen veranderen ze de community string...

Naja, dan hebben we altijd deze bug nog

Anoniem: 25816 13 februari 2002 13:17

ff voor de duidelijkheid, het betreft hier geen fouten in het SNM-Protocol, maar in de implentaties ervan in agents en managers. Gewoon buggy software dus, echter het probleem is dat bijzonder veel implementaties serieuze bugs bevatten, in agents dan wel in managers.

En iemand die SNMP-agents opzet richting internet verdient het gewoon gestraft te worden.

roelio @Anoniem: 25816 • 13 februari 2002 14:00

Mijn vraag is dan: als het geen bug in het protocol zelf betreft (dat staat wel letterlijk bovenaan deze nieuwspost !!), waarom hebben zoveel verschillende bedrijven dan buggy software (die gebruik maakt van dit protocol) geschreven?

radi0man @roelio • 13 februari 2002 14:13

De basis die aan SNMP ten grondslag ligt, is knap ingewikkeld. Bijna alle implementaties hebben gebruik gemaakt van dezelfde (gratis) code, zodat ze niet zelf opnieuw het wiel uit hoeven te vinden.

roelio @radi0man • 13 februari 2002 14:15

dan blijkt hieruit dus dat het bij code-reuse toch wel slim is om ff te kijken of het wel echt goede code is

KeX @Anoniem: 25816 • 13 februari 2002 14:18

Voor zover ik het kan overzien is het wel degelijk het protocol waar de fouten in zitten. Software die gebruik maakt van het pakket hebben daar als gevolg van uiteraard dezelfde kwetsbaarheden. Persoonlijk zie ik het ook niet direct als een bug, maar eerder als een achterstand in ontwikkeling. In de tijd dat dit protocol ontwikkeld werd was veiligheid niet op deze manier een issue en dus ook niet van toepassing. Overigens bevestigd de volgende quote van CNET ook dat het op de taal zelf slaat ipv op de daarop gebaseerde software:

Software bugs in a fundamental language of the Internet could leave routers, switches and even PCs open to attack...

Anoniem: 25816 @KeX • 13 februari 2002 14:48

Uit de flash van SANS:

The problems were caused by programming errors that have been in the
SNMP implementations for a long time, but only recently discovered.

Uit de CERT advisory:

Numerous vulnerabilities have been reported in multiple vendors' SNMP implementations.

KeX @Anoniem: 25816 • 13 februari 2002 15:07

Numerous vulnerabilities have been reported in multiple vendors' SNMP implementations.

Dat de kwetsbaarheden aangetroffen zijn in de produkten wil toch niet in eerste instantie zeggen dat de produkten verkeerd geprogrammeerd zijn, maar in dit geval dat ze gebruik maken van een protocol wat fouten bevat. Is imo behoorlijk essentieel verschil al bestaat dat verschil in de praktijk natuurlijk niet zo expliciet. Als software gebruik maakt avn een protocol dat niet waterdicht is dan kan per definitie de software zelf toch ook niet veilig zijn?
In de eerste regel van de door jou aangehaalde Flash alert op SANS.org staat ook heel duidelijk:

In a few minutes wire services and other news sources will begin breaking a story about widespread vulnerabilities in SNMP (Simple Network Management Protocol).

CERT heeft overigens ook een uitgebreide faq online gezet

/edit: typo

Anoniem: 25816 @Anoniem: 25816 • 13 februari 2002 15:39

sigh

Many of the implementations available for evaluation failed to perform in a robust manner under test. Some failures had information security implications, and should be considered as vulnerabilities.

Uit het testrapport van de ontdekkers.

Oorzaak van het probleem (volgens iemand die het kan weten): een foutieve reference-implementation (cmu-snmp).

KeX @Anoniem: 25816 • 13 februari 2002 16:12

sigh

Je mag inderdaad best zuchten, want we draven door. De site van Protos die je aanhaalt had ik inderdaad ook al gelezen. En wat daar staat ondergraaft datgene dat ik zeg absoluut niet, sterker nog, het bevestigt het verhaal dat software gebaseerd op het protocol sowieso zal "failen" omdat het protocol buggy is. Het lijkt onderhand op een kip-ei discussie, maar in dit geval is het duidelijk wat er eerder was namenlijk het protocol.
En de gekleurde mening van één van de developers die op /. zijn eigen hachje staat te verdedigen neem ik niet gelijk aan als iemand die het grote gelijk uitdraagt. Ik blijf er mijn twijfels over houden. Zeker omdat de nieuwsposting ook op /. welke verwijst naar ZDnet duidelijk spreekt over een "flaw" in het protocol.
Ik sluit de mogelijkheid dat je gelijk hebt nog steeds niet uit, maar de berichtgeving op alle sites inclusief die op de site van de ontdekkers spreken over falende software als gevolg van een fout in het protocol. Slechts de reactie op /. van bovengenoemde developer staat daar tegenover. Dan is het toch niet vreemd dat de algemene gedachtengang, inclusief die van mij, is dat de fout bij het protocol ligt.

KeX 13 februari 2002 13:14

Ik heb begrepen dat een research groep van een Finse universiteit met hun testtool PROTOS de gaten ontdekt hebben. Volgens een reactie op het forum van security.nl was het probleem al een half jaar bekend. Een bedrijf als redhat heeft een deel van de problemen al opgelost.

Op deze pagina van CERT is gedetailleerde informatie over het oplossen van de problemen alsmede tips voor veiliger gebruik van SNMP te vinden.

zomertje @KeX • 13 februari 2002 14:03

Ik kreeg inderdaad al een mailtje van RedHat met het advies om snmp te upgraden

HGM 13 februari 2002 13:10

Wel weer een beetje een sensatie kop, aangezien dit al een 'eeuwigheid' mogelijk is, zal het naar verhouding wel meevallen.

Het zou natuurlijk wel beter zijn als er ook echt werkt van gemaakt wordt, maar een beetje sys-admin wist/weet dit natuurlijk wel.

Ik vraag me eigenlijk af wat medische apparatuur met een aansluiting op Internet moet?? Dat zou ik sowieso al niet vertrouwen

Caspar 13 februari 2002 13:21

is nog niet weidverbreid

Zullen we er maar wijdverbreid van maken

musiman

13 februari 2002 14:30

Het is al lang bekend onder hackers dat het SNMP protocol interessant is.

Wanneer je bij een bedrijf 1 router met SNMP kunt benaderen en je raadt het juiste wachtwoord (dat heel vaak CISCO of PUBLIC of gewoon helemaal leeg is), dan kun je alle info van het hele internetwerk van dit bedrijf uitlezen. Simpel. En hoe vaak mag je wachtwoorden proberen? Onbeperkt

Alleen kan het wel zijn, dat er een SNMP trap gedefinieerd is die bij een foute authenticatie een berichtje stuurt naar de beheerder.

Verder zitten er in alle routers backdoor users. Bij die van 3Com, die van Cisco en ga zo maar door.
Wanneer je telnet naar zo'n bak en je weet de naam en het wachtwoord van die user, dan kun je dus ook alles. Veel van die backdoor users zijn op het internet bekend.

Het is dus niet alleen maar SNMP die de veiligheid van het internet in gevaar brengt.

^Stalkie^ 13 februari 2002 13:04

Hmmzz... Een bug in medische apparatuur... Lijkt me niet zo kicke als je in de MRI ligt en dat ding nokt ermee door die bug...

Lijkt me ook wel logisch dat ze in 1980 niet dachten aan beveiliging... Hoop dat ze snel komen met een oplossing om ALLE bugs eruit te halen...

Beaves @^Stalkie^ • 13 februari 2002 13:34

Lijkt me ook wel logisch dat ze in 1980 niet dachten aan beveiliging... Hoop dat ze snel komen met een oplossing om ALLE bugs eruit te halen...

Alle bugs uit software of hardware halen zal niet lukken, het is en blijft mensenwerk. Daardoor zullen er dus altijd fouten gemaakt blijven worden, ook al wordt het nog zo goed getest.

Wat wel kan, en moet, is dat er actiever op bugs wordt gejaagd en dat de gevonden bugs zo snel mogelijk gefixed worden. En natuurlijk moeten de beheerders de fixes wel draaien, want anders heeft het nog geen zin.

kareltje21 @^Stalkie^ • 13 februari 2002 13:29

wooww, i just hacked a Pacemaker....

td td td td td td tttttttttttttrrrrrrrrrrrrrrrrrrrrrrrr
tuuuuuuuuuuuuuuuuuuuuuuuuuuu

[edit]

laitsolaire:
Mijn reactie was eerder cynisch dan humoristisch en al zeker niet echt als cool. Jij beschrijft letterlijk de gedachte die ik figuurlijk geuit heb.

Verder is het niet uitgegaan van enige realiteit, aangezien je toch weinig kan voorspellen (maar wel heel wat kunt verwachten): Bij mijn eerste aanraking met internet in 1993 (op dos gebaseerde gopher) had ik ook niet gedacht in thailand via met een dig camera en internet mijn huis te kunnen checken. Ik zou zelfs via lego mindstorm het voeren van de kat al kunnen regelen (ipv de buurvrouw).

Dus of het mogelijk is blijft een vraag, maar verwerp dingen niet te snel.... we zijn verder dan je denkt

Zwangere moeders kunnen tegenwoordig aparatuur in huis krijgen voor het monitoren van frequentie van weeen (bij bevalling). Deze apparatuur is tijdens het monitoren wel verbonden met computer van een arts (genetwerkt).

EEG apparatuur (medische scans) is tegenwoordig volledig computergestuurd, deze computers zitten wel degelijk aan een netwerk. (zogenaamde HIS, Hospital informatie systeem).

Welk protocol er gebruikt wordt maakt niet uit, het is genetwerkt met andere zaken en vormt zo een keten. en je weet van de ketting en de zwakste schakel.

Een beetje hacker kan wel van het ene op het andere protocol overgaan.

LaitSolaire @kareltje21 • 13 februari 2002 13:53

wooww, i just hacked a Pacemaker....

En zo verandert een hacker in een moordenaar...

Al weet je het vrij morbide te brengen Kareltje21, zitten er grote implicaties achter deze gedachte en wellicht ook de basis voor een sterk scifi horror verhaal. Denk eens aan de morele en ethische implicaties van het hacken indien dit het geval zou zijn... je ziet een bepaald adres voor je, je besluit het aan te vallen en voordat je er erg in hebt staat je eigen hart stil...

Edit: De vraag is niet of een pacemaker werkt op SNMP, maar ofdat een soortgelijk apparaat met een soortgelijke functie ooit verbonden zal zijn met een netwerk?

Ik heb wel eens vaker gedacht aan IPv6 waarbij je een x aantal ip adressen kunt hebben per vierkante meter. Wie zegt dat die vierkante meter niet mag rondbewegen?

Probeer het bericht in een wat breder perspectief te bekijken alsjeblieft. Het gaat hier om het mogelijke, niet het noodzakelijke

Adion

@LaitSolaire • 13 februari 2002 14:10

Ook niet overdrijven he, zelfs als er medische apparatuur snmp gebruikt betekend dit nog niet dat die apparatuur ook aan het wereldwijde internet hangt he!
Als je als hacker eerst op een computer in het ziekenhuis moet geraken dan ligt de grootste fout in beveiliging aan het feit dat hij aan die computer geraakte, en niet zozeer aan de snmp bugs.

Voor het internet in het algemeen is het natuurlijk minder goed. Er staat echter niet echt bij wat je met de bugs zou kunnen doen. Ik verwacht dan vooral het in de war brengen van routers enzo, tot mogelijk DoS aanvallen, maar dus niet het vinden van paswoorden of vertrouwelijke informatie.
Voor de meeste mensen zou de bug dan niet echt een ramp zijn.

wildhagen

Bedrijfsnieuws

@LaitSolaire • 13 februari 2002 13:54

Nou weet ik het niet hoor, maar sinds wanneer werkt een pacemaker met SNMP?

blaatenator @LaitSolaire • 13 februari 2002 15:19

Dit was een voorbeeld om iets duidelijk te maken. Niet om letterlijk te interpreteren (nog niet iig

)

edit:
reactie op Wildhagen

blouweKip @LaitSolaire • 13 februari 2002 15:48

Denk eens aan de morele en ethische implicaties van het hacken indien dit het geval zou zijn

Tja, ik weet niet exact hoe jij je het voorgesteld had (lees: of de cracker (geen hacker) het opzettelijk deed), maar ik zoek in moreel opzicht altijd eerts de schuld bij de persoon/bedrijf die zich laakbaar opstelt (de maker van de betreffende software)

paknaald @LaitSolaire • 13 februari 2002 16:19

je hebt gelijk, maar waar gewerkt wordt worden fouten gemaakt, dus ook de sys van een ziekenhuis kan met zijn plan van een mooi intranet in de fout gaan, met alle mogelijke gevolgen van dien.

sinds de meeste hackers 12-18 zijn en geen oog voor gevolgen en onder het jeugdstrafrecht vallen zou ik niet genoegen nemen met 'dat gebeurd toch niet' want die scriptkids zijn achterlijk genoeg.

freaky @LaitSolaire • 13 februari 2002 17:29

De meeste hackers zitten niet in de 12-18 range hoor, dat zijn alleen degene waar je het meest over hoort, omdat, zoals je zelf al aangeeft, deze weinig tot geen rekening houden met de gevolgen. Denk ook dat je de term cracker bedoelt, maar ja, de crackers worden al zolang hackers genoemd (wat heel triest is voor de hackers overigens) dat ik geen zin heb hierover de zoveelste flame te starten....

Anyways, ziekenhuizen zijn al zo lek als een mandje, dat zullen ze voorlopig nog wel zijn ook, en zijn ze in het verleden ook al geweest. Ik ken zat mensen die in het ziekenhuis werken, al hebben we het niet eens over computers lek is het toch. Zo krijgen heel veel zusters inzage in dossiers van patienten waar ze officieel helemaal niet in mogen kijken (sterker nog, ze hangen meestal gewoon in de zuster kamer) omdat de artsten geen tijd hebben/te lui zijn en dan maar tegen de zusters vertellen dat hun het moeten doen. Zo zijn d'r nog ik weet niet hoeveel gaten in het ziekenhuis....

Anoniem: 24471 @kareltje21 • 14 februari 2002 07:50

????????????????? pace maker op het internet zo das knap ik moet zeggen ga nou niet overdijven
hetzelfde geld voor mri of wat dan ook dat apperatuur staat echt niet aan het internet verbonden hoedanook
het zal gaan om centrale database registraties en dergelijken

Anoniem: 47550 13 februari 2002 13:42

Dit is dus echt zwaar linke soep want als een hackers groep er een aantal belangerijke routers hackt kunnen ze een groot gedeel van het internet onbereikbaar maken....Tevens is het natuurlijk ook zo dat als hackers firewall hiermee kraken dan kunnen ze gewoon toegang krijgen tot netwerk die normaal hermetisch afgesloten zouden zijn dmv een firewall...Dus ik denk dat dit voor veel systeem beheerders lees beheersers echt hier iets aan moeten doen...anders gaan er straks niet alleen de websites van bedrijven plat maar ook de hele netwerken van bedrijven intern..en kunnen delen van netwerken worden begaan waar niemand eigenlijk zou mogen komen!

Ik ben bang dat er binnekort tooltjes op de markt komen die scriptkiddies kunnen gebruiken en dan kunnen we echt over link soep gaan spreken aangezien deze scriptkiddies individueel al heel gevaarlijk kunnen worden op deze manier..
En wat mij dan zo'n zorgen baart is dat deze personen er op kicken als ze iets kapot maken lees plat gooien!
En aangezien er erg veel van deze kindertjes zijn moeten we echt alles helemaal dicht gooien!
Als we niet uit kijken word het een ramp!

Dus ik denk dat dit een van de grootste lekken lees exploits is die er ooit geweest is!

blaatenator @Anoniem: 47550 • 13 februari 2002 15:47

uhh xCAT, weet je eigenlijk wel iets af van SNMP. Het verhaaltje klinkt heel dramatisch, maar daar houdt het eigenlijk ook mee op

Die 'tooltjes' die jij noemt, zijn er al een tijdje, en zijn ook in legitiem gebruikt (alhoewel ik m'n vraagtekens zet bij de SNMP brute force scanner van Solar Winds 2001).
Je kunt met SNMP idd een hele hoop info inwinnen (tot aan registry settings toe als je over een NT systeem praat), maar zoals hier al vaak voorbij is gekomen, een goede beheerder zorgt ervoor dat dit soort zaken afgeschermd zijn (voor zover mogelijk). Eigenlijk is de aanpak in dit geval niet veel anders dan bij andere zaken waar een netwerkbeheerder zoal mee te maken kan krijgen, totdat goede patches beschikbaar zijn.

RetepV @blaatenator • 14 februari 2002 11:26

een goede beheerder zorgt ervoor dat dit soort zaken afgeschermd zijn

Maar het probleem is toch dat computers en internet voor de mainstream bedoeld is? Dat zijn doorgaans geen goede beheerders, dus moet je die tegen zichzelf beschermen.

Er zijn maar weinig toonaangevende softwarebedrijven die computeranalfabeten tegen zichzelf beschermen. Maar ze wijzen wel met een beschuldigend vingertje als er iets mis gaat.

twiFight 13 februari 2002 14:09

@ HGM

Ziekenhuizen hebben wel degelijk wat aan een internet aansluiting. Zo kan een ziekenhuis in Maastricht makkelijk patientgegevens ophalen van iemand die normaal gesproken naar een ziekenhuis in Groningen gaat.
Of Ome dokter stuurt een mailtje naar de apotheker dat meneer HGM zijn Prozac op komt halen.

En ze hebben ook zo'n nieuw initiatief dat ze overal makkelijk kunnen zien in welk ziekenhuis er bedden vrij zijn.

HGM @twiFight • 13 februari 2002 14:14

Is een leuk principe natuurlijk, maar ik mag toch hopen dat dit niet 'zomaar' over het Internet gestuurd wordt. Hiervoor moeten natuurlijk andere wegen gezocht worden.

En wat email betreft dat is natuurlijk een heel ander verhaal

Gelukkig heb ik die Prozac iig (nog) niet nodig

Anoniem: 36897 13 februari 2002 13:14

Kan je straks een firewall op je digitale camera instaleren

Op dit item kan niet meer gereageerd worden.

Bugs in SNMP-code bedreigen veiligheid internet

Lees meer

IT-banen

Reacties (49)

Sorteer op:

Weergave: