Сплеск brute-force атак спрямований на легко підбираються доступні для запису snmp community

    Добрий день всім,
 
По роботі зіткнувся з цікавим сплеском мережевої активності в інтернеті в останні дні. Працюю я в Cisco TAC, тому і стаття про це.
А саме хтось в інтернеті запустив глобальне сканування мережевих пристроїв на предмет лекго-підбираються доступних для запису snmp community і при успіху стирає з пристроїв таблицю роутінга.
Очевидно, це веде до раптового припинення коректної роботи пристрою (найчастіше це прикордонні роутери) та відкриттю зайвої кількості кейсів в техпідтримку.
Звичайно ж Cisco як завжди рекомендує ретельно стежити за snmp, особливо за такою частиною як імена community доступних для запису, використовувати access list'и і нагадує що community по дизайну це ні що інше як пароль, і він взагалі-то повинен бути складним.
 
Проте в результаті цієї атаки виявилося кілька разючих моментів:
 - Сам по собі вектор атаки спрямований на таку ділянку дає необмежені можливості по управлінню пристроями при очевидній простоті виконання
 - Що ще більш її посилює — IOS пристрою не логіруют зміна конфігурації по SNMP, що веде до абсолютно незрозумілих причин проблем. Це поведінка буде виправлено і з цього приводу вже заведений баг.
 
Хотілося б так само підкреслити що абсолютно не варто нагадувати і писати про те що тримати відкритою назовні snmp community може тільки дилетант, автор і сам в курсі. Але, шановні друзі, ви б були здивовані наскільки великі, важливі і професійні люди постраждали, Продалжаем страждати і як їх багато виявилося.
В умовах коли адмініструвати доводиться сотні пристроїв щось можна і упустити, так що перевірити все ще раз не завадить, а так само можливо комусь це допоможе зрозуміти що недавно сталося з його дорогим і потужним прикордонним обладнанням.
 
Оригінал в блозі Cisco:
 blogs.cisco.com / security / snmp-spike-in-brute-force-attempts-recently-observed /
    
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.