成千上万的世界各地的互联网网关设备,主要是住宅电缆调制解调器,是脆弱的,因为在他们的简单网络管理协议实施严重的弱点黑客。
SNMP是用于自动化网络设备的识别,监测和远程配置。它支持并在很多设备,包括服务器,打印机,网络集线器,交换机和路由器默认启用。
独立研究人员埃塞基耶尔·费尔南德斯和贝尔坦Bervis最近找到了一种方法绕过SNMP认证的78款电缆调制解调器的是来自世界各地的互联网服务供应商提供给他们的客户。
他们的互联网扫描显示,数十万台设备的配置可以通过SNMP漏洞远程改变他们找到了并命名为“StringBleed”。
版本1和SNMP协议的2不必强认证开始。他们要么提供只读密码通过所谓的社区字符串,设备配置或写访问。默认情况下,这些密码都是只读访问“公”和“私”进行写访问,但设备制造商可以在它们的实现进行更改,它通常建议这样做。
敏感的配置数据通过默认的“公共” SNMP社区字符串的泄漏是一个已知的问题已经影响到多年来许多设备。在2014年,研究人员从Rapid7发现SNMP泄漏Brocade、Ambit和Netopia公司生产的近50万台联网设备中也出现了这种情况。
然而,什么费尔南德斯和Bervis发现是更糟糕:从多个供应商接受的SNMP团体字符串几乎任何价值和解锁读取和写入访问其配置数据的设备。
两位研究人员首先位于少数易受攻击的设备,包括思科DPC3928SL电缆调制解调器现在随着公司的收购思科的互联设备部门在2015年的Technicolor公司的产品组合的一部分。
研究人员声称,当他们报告的问题Technicolor公司,该公司告诉他们,这是在墨西哥一个单一的ISP,而不是设备本身有问题的访问配置错误的结果。
这促使研究人员进行更广泛的互联网扫描,导致78种脆弱的电缆调制解调器型号从19家厂商,包括思科,Technicolor公司,摩托罗拉,d-Link和汤姆逊的发现。
可直接用于某些型号到几十,几百数千人将针对在互联网范围内从不到10易受攻击的设备的数量。例如,在互联网上几乎28万弱势汤姆森DWG850-4设备,其中大部分是在巴西,根据研究人员。
研究人员认为,根本问题是位于由调制解调器使用的,而不是通过互联网服务供应商的错误配置的结果的SNMP实现。
不管原因如何,问题是严重的,因为攻击者可以利用这个漏洞来提取管理和Wi-Fi密码或通过修改它们的配置劫持设备。
没有太多,如果他们的ISP提供他们有漏洞的设备的用户可以做,除了要求一个不同的模型或安装自己的调制解调器。不幸的是,许多ISP允许他们的住宅用户使用自己的网关设备,因为他们希望在其网络上的均匀性和远程管理功能。
确定某个特定设备是否容易受到此问题的攻击是可能的,但需要做一些工作。可以使用像shield dsup这样的在线端口扫描器确定设备响应SNMP请求在它的公共IP地址。
如果SNMP是开放的,不同的在线工具可用于检查设备的SNMP服务器在使用“公共”或随机社区字符串时是否返回有效响应。这至少表明存在信息泄漏问题。