|
| SNMP sårbarheder Fra : Peter Kruse |
Dato : 13-02-02 14:57 |
|
Hej,
Jeg syntes dette bør være tid til at henlede alles opmærksomhed mod de
problemer, som er blevet dokumenteret i forbindelse med SMNPvx
protokolen.CERT har udsendt en advarsel som jeg vil anbefale alle læser
(hvis man af forskellige årsager ikke er noget til det endnu). Den findes på
følgende adresse:
http://www.cert.org/advisories/CA-2002-03.html. Flere af de store
producenter har allerede udsendt seperate advarsler herunder Microsoft,
Cisco og HP.
Mange af disse issues er ikke nye, men i kølvandet på denne advisory vil
givetvis følge en stribe sårbare *printere*, som kan misbruges til at lave
et hav af snask i et netværk - der er jo desværre masser af muligheder.
Flere kan med sikkerhed misbruges til at lamme netværksressourcer.
Venligst
Peter Kruse
| |
Thomas B. Maxe (13-02-2002)
| Kommentar Fra : Thomas B. Maxe |
Dato : 13-02-02 15:32 |
|
"Peter Kruse" skrev:
> Jeg syntes dette bør være tid til at henlede alles opmærksomhed mod de
> problemer, som er blevet dokumenteret i forbindelse med SMNPvx
> protokolen.CERT har udsendt en advarsel som jeg vil anbefale alle
læser
> (hvis man af forskellige årsager ikke er noget til det endnu). Den
findes på
> følgende adresse:
> http://www.cert.org/advisories/CA-2002-03.html. Flere af de store
> producenter har allerede udsendt seperate advarsler herunder
Microsoft,
> Cisco og HP.
>
Og tillad mig så lige at forebygge udbredt panik blandt private brugere
ved at tilføje, at SNMP-services som default er slået fra i
Windows-systemer og, at TDC ADSL-kunder med en standard-konfigureret
router heller ikke behøver bekymre sig.
Informationen kan også læses her:
http://www.csirt.dk
Med venlig hilsen
Thomas B. Maxe
| |
Peter Kruse (13-02-2002)
| Kommentar Fra : Peter Kruse |
Dato : 13-02-02 16:00 |
|
"Thomas B. Maxe" <toxicthomas@nospam.hotmail.com> skrev i en meddelelse
news:a4dtdu$lk1$1@sunsite.dk...
> Og tillad mig så lige at forebygge udbredt panik blandt private brugere
> ved at tilføje, at SNMP-services som default er slået fra i
> Windows-systemer og, at TDC ADSL-kunder med en standard-konfigureret
> router heller ikke behøver bekymre sig.
Hej Thomas,
Absolut korrekt - point taken. Det er ikke et problem, og skal ikke blive en
bekymring, for den almindelige bruger.
Venligst
Peter Kruse
| |
Allan Olesen (13-02-2002)
| Kommentar Fra : Allan Olesen |
Dato : 13-02-02 16:01 |
|
"Thomas B. Maxe" <toxicthomas@nospam.hotmail.com> wrote:
>Og tillad mig så lige at forebygge udbredt panik blandt private brugere
>ved at tilføje, at SNMP-services som default er slået fra i
>Windows-systemer og, at TDC ADSL-kunder med en standard-konfigureret
>router heller ikke behøver bekymre sig.
Er der overhovedet nogen, der kunne finde på at lukke snmp-trafik ind
på deres net?
Jeg betragter SNMP som et smart værktøj til administration af udstyr
på et nogenlunde sikkert net, men absolut ikke som noget, jeg kunne
forestille mig, at nogen kunne finde på at give adgang for udefra.
(Men jeg har jo egentlig set flere SOHO ISDN-routere med telnet-adgang
udefra, så det er selvfølgelig ikke utænkeligt, at nogen kunne finde
på at producere en router med SNMP-adgang udefra.)
--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.
| |
Peter Kruse (13-02-2002)
| Kommentar Fra : Peter Kruse |
Dato : 13-02-02 16:15 |
|
"Allan Olesen" <aolesen@post3.tele.dk> skrev i en meddelelse
news:3c6a7fb9$0$17224$edfadb0f@dspool01.news.tele.dk...
> Er der overhovedet nogen, der kunne finde på at lukke snmp-trafik ind
> på deres net?
Hej Allan,
Jeg ved ikke (og har ikke fantasi til at forstille mig) i hvilken
sammenhæng/scenarie, at det kunne retfærdiggøres, at tillade indgående SNMP
trafik. Personligt er det ikke noget jeg ville overveje - udegående er en
anden sag.
> Jeg betragter SNMP som et smart værktøj til administration af udstyr
> på et nogenlunde sikkert net, men absolut ikke som noget, jeg kunne
> forestille mig, at nogen kunne finde på at give adgang for udefra.
Det er også den rigtige måde at anskue dette på, men jeg tror stadig, at
mange angreb indledes indefra (statistisk set er det vel veldokumenteret).
> (Men jeg har jo egentlig set flere SOHO ISDN-routere med telnet-adgang
> udefra, så det er selvfølgelig ikke utænkeligt, at nogen kunne finde
> på at producere en router med SNMP-adgang udefra.)
Det kunne være spændende at høre om et konkret eksempel.
Venligst
Peter Kruse
| |
Allan Olesen (13-02-2002)
| Kommentar Fra : Allan Olesen |
Dato : 13-02-02 16:27 |
|
"Peter Kruse" <kruse@pc.dk> wrote:
>Det er også den rigtige måde at anskue dette på, men jeg tror stadig, at
>mange angreb indledes indefra (statistisk set er det vel veldokumenteret).
Det kan der være noget om.
>> (Men jeg har jo egentlig set flere SOHO ISDN-routere med telnet-adgang
>> udefra, så det er selvfølgelig ikke utænkeligt, at nogen kunne finde
>> på at producere en router med SNMP-adgang udefra.)
>
>Det kunne være spændende at høre om et konkret eksempel.
>
På telnet eller SNMP? Med telnet kan man få adgang udfra til både
Dlink DI-206 og Cisco 7-etellerandet. Førstnævnte med default
brugernavn og password. Sidstnævnte uden brugernavn eller password.
--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.
| |
Christian E. Lysel (13-02-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 13-02-02 23:33 |
|
Peter Kruse wrote:
>>Er der overhovedet nogen, der kunne finde på at lukke snmp-trafik ind
>>på deres net?
[cut]
> Det kunne være spændende at høre om et konkret eksempel.
snmp trap's fra eksterne routere, til internt managment udstyr, i stil
med syslog.
| |
Andreas Plesner Jaco~ (13-02-2002)
| Kommentar Fra : Andreas Plesner Jaco~ |
Dato : 13-02-02 16:23 |
|
In article <3c6a7fb9$0$17224$edfadb0f@dspool01.news.tele.dk>, Allan Olesen wrote:
>
>>Og tillad mig så lige at forebygge udbredt panik blandt private brugere
>>ved at tilføje, at SNMP-services som default er slået fra i
>>Windows-systemer og, at TDC ADSL-kunder med en standard-konfigureret
>>router heller ikke behøver bekymre sig.
>
> Er der overhovedet nogen, der kunne finde på at lukke snmp-trafik ind
> på deres net?
Jada, mange ISPer har in-band-management af deres routere og servere, og
har derudover en masse kunder de ikke kan tillade sig at filtrere på
vegne af.
--
Andreas Plesner Jacobsen | "So, will the Andover party have a cash bar?"
| "No, there's free beer."
| "Uh-oh, Stallman's gonna be pissed..."
| -- overheard at the Bazaar, 1999
| |
Allan Olesen (13-02-2002)
| Kommentar Fra : Allan Olesen |
Dato : 13-02-02 16:43 |
|
Andreas Plesner Jacobsen <apj@daarligstil.dk> wrote:
>Jada, mange ISPer har in-band-management af deres routere og servere, og
>har derudover en masse kunder de ikke kan tillade sig at filtrere på
>vegne af.
OK.
--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.
| |
Simon Skals (14-02-2002)
| Kommentar Fra : Simon Skals |
Dato : 14-02-02 01:26 |
|
It seems Andreas Plesner Jacobsen wrote:
>Jada, mange ISPer har in-band-management af deres routere og servere, og
>har derudover en masse kunder de ikke kan tillade sig at filtrere på
>vegne af.
Men hvis ISP'en har samlet deres egen produktionsplatform i en
stor IP-blok eller tre, så kan de relativt enkelt spærre for
SNMP til disse i periferien uden at genere kundetrafikken.
--
Simon Skals <spam@gid.dk>
"Never attribute to competence what can adequately be explained by luck."
| |
Andreas Plesner Jaco~ (14-02-2002)
| Kommentar Fra : Andreas Plesner Jaco~ |
Dato : 14-02-02 09:12 |
|
In article <slrna6m11a.p2i.spam@ www.gid.dk>, Simon Skals wrote:
>>Jada, mange ISPer har in-band-management af deres routere og servere, og
>>har derudover en masse kunder de ikke kan tillade sig at filtrere på
>>vegne af.
>
> Men hvis ISP'en har samlet deres egen produktionsplatform i en
> stor IP-blok eller tre, så kan de relativt enkelt spærre for
> SNMP til disse i periferien uden at genere kundetrafikken.
Indeed.
--
Andreas Plesner Jacobsen | Where do you think you're going today?
| |
Thomas B. Maxe (13-02-2002)
| Kommentar Fra : Thomas B. Maxe |
Dato : 13-02-02 18:30 |
|
"Allan Olesen" skrev:
> "Thomas B. Maxe" skrev:
>
> >Og tillad mig så lige at forebygge udbredt panik blandt private brugere
> >ved at tilføje, at SNMP-services som default er slået fra i
> >Windows-systemer og, at TDC ADSL-kunder med en standard-konfigureret
> >router heller ikke behøver bekymre sig.
>
> Er der overhovedet nogen, der kunne finde på at lukke snmp-trafik ind
> på deres net?
>
Ja, der er der vist, men det kræver så en række andre tiltag, f.eks.
omfattende regelopsætning i firewall'en, så man gør sit bedste for at sikre,
at kun de "rigtige" kommer igennem. Jeg er dog ikke SNMP-ekspert, skal jeg
skynde mig at sige...
Jeg skyndte mig bare at sætte et par modifikationer på den meget bredt
formulerede annoncering af sårbarheden. Og det skyldes egentlig dovenskab,
må jeg tilstå, for jeg har brugt hele dagen på at dobbelt-checke information
og forsøgt at sprede den de rigtige steder for at forebygge, at kundeservice
skulle blive lagt ned af panikslagne kunder, f.eks. fordi de har læst
artikler om, at "internettet er truet", og at "de fleste privatbrugere
omgående bør ændre i routerens konfiguration".
Det har nu været en meget sjov dag, men jeg har ikke vildt meget lyst til at
skulle begynde forfra i morgen...
Med venlig hilsen
Thomas B. Maxe
(som i denne forbindelse selv tager evt. skideballer for sine udtalelser,
fordi denne meddelelse er afsendt efter fyraften hos TDC Internet)
| |
Jesper Louis Anderse~ (13-02-2002)
| Kommentar Fra : Jesper Louis Anderse~ |
Dato : 13-02-02 15:36 |
|
On Wed, 13 Feb 2002 14:56:44 +0100, Peter Kruse <kruse@pc.dk> wrote:
> Hej,
>
> Jeg syntes dette bør være tid til at henlede alles opmærksomhed mod de
> problemer, som er blevet dokumenteret i forbindelse med SMNPvx
> protokolen.CERT har udsendt en advarsel som jeg vil anbefale alle læser
> (hvis man af forskellige årsager ikke er noget til det endnu). Den findes på
> følgende adresse:
> http://www.cert.org/advisories/CA-2002-03.html. Flere af de store
> producenter har allerede udsendt seperate advarsler herunder Microsoft,
> Cisco og HP.
Hmm, langt de fleste respektable operativsystemer og distributioner af
disse har en side, hvor sikkerhedshuller bliver opdateret. Det er folks
eget ansvar at melde sig til disse lister IMO. Samtidig findes en række
hjemmesider indeholdende det samme.
Jeg kan i flæng nævne:
http://www.debian.org
http://www.freebsd.org/security/
http://www.openbsd.org/security.html
Derfor bør ovenstående problemer ikke altid annonceres, fordi det kan
skabe unødige bekymringer. Det er efter min overbevisning op til de
enkelte security managers at vurdere hvad der er farligt. Derved bliver
der sorteret kraftigt i strømmen af ``dagens-sikkerhedshul'', så man
kaster sin tid over egentlige huller, der rammer ens systemer.
Jeg tvivler på at den originale posting fører til noget brugbart.
Personligt har jeg set ovenstående snmp hul annonceret omkring 10 steder
nu, og ingen af gangene har nogle af de systemer jeg til dagligt
benytter været sårbare. Med andre ord har informationen været skrald for
mig, for det meste.
For mig var sikkerhedshullet i sudo[1] langt mere rammende og jeg havde
langt flere maskiner at opdatere. Dette hul blev ikke annonceret nogle
steder. Og godt det samme. Vi spreder bare unødig bekymring på den anden
måde, fordi en del mennesker muligvis ikke forstår en CERT advisory.
[1] I ``mit'' operativsystem (FreeBSD):
ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-02:06.sudo.asc
--
Jesper
| |
Peter Kruse (13-02-2002)
| Kommentar Fra : Peter Kruse |
Dato : 13-02-02 15:58 |
|
"Jesper Louis Andersen" <jlouis@ivalde.diku.dk> skrev i en meddelelse
news:slrna6kudj.4nb.jlouis@ivalde.diku.dk...
> On Wed, 13 Feb 2002 14:56:44 +0100, Peter Kruse <kruse@pc.dk> wrote:
> Hmm, langt de fleste respektable operativsystemer og distributioner af
> disse har en side, hvor sikkerhedshuller bliver opdateret. Det er folks
> eget ansvar at melde sig til disse lister IMO. Samtidig findes en række
> hjemmesider indeholdende det samme.
>
> Jeg kan i flæng nævne:
Hej Jesper,
Ja, der er mange af slagsen og mange software producenter har også en
dedikeret hjemmeside omkring sikkerhed til netop at imødekomme mange kunders
krav og behov for at finde sådanne informationer omkring patches og software
opdateringer m.v..
> Derfor bør ovenstående problemer ikke altid annonceres, fordi det kan
> skabe unødige bekymringer. Det er efter min overbevisning op til de
> enkelte security managers at vurdere hvad der er farligt.
Enig og da dette er et sikkerhedsrelateret forum syntes det syntes
indlysende, hvis nogen havde overset dette (og jeg ved det har været postet
mange steder) blot at henlede opmærksomheden på problemet. Det er ikke min
tanke at starte en større debat.
> Jeg tvivler på at den originale posting fører til noget brugbart.
> Personligt har jeg set ovenstående snmp hul annonceret omkring 10 steder
> nu, og ingen af gangene har nogle af de systemer jeg til dagligt
> benytter været sårbare. Med andre ord har informationen været skrald for
> mig, for det meste.
Det er muligt at "normale" sikkerhedsnyheder bliver sorteret lidt groft, men
i dette eksempel er der tale om en sårbarhed i en protokol som anvendes af
rigtigt mange system- og netværksadministratorer. Og en fejl som kan
afspejles i rigtigt mange produkter. Der er altså ikke tale om en enkelt
fejl men potentielt en sårbarhed som kan have følgevirkninger på flere
hundrer produkter. CERT's advisory er iøvrigt derfor også opdelt fordi der
er tale om flere sårbarheder i SNMPvx.
Venligst
Peter Kruse
| |
Alex Holst (13-02-2002)
| Kommentar Fra : Alex Holst |
Dato : 13-02-02 16:25 |
|
Peter Kruse <kruse@pc.dk> wrote:
> Det er muligt at "normale" sikkerhedsnyheder bliver sorteret lidt groft, men
> i dette eksempel er der tale om en sårbarhed i en protokol som anvendes af
> rigtigt mange system- og netværksadministratorer.
Jeg haaber sandeligt at disse mennesker laeser nyheder fra producenten
af deres OS (f.eks. kl 9 om morgenen) foer end de laeser dk.edb.sikkerhed
(hvilket maaske foerst sker uden for arbejdstiden). Jeg kan ikke
forestille mig en person som laeser dk.edb.sikkerhed _uden_ at laese
sikkerhedsnyheder om deres OS.
Dit indlaeg kan kun skabe unoedig panik. Ligesom dit Code Red indlaeg
for mange maaneder siden burde det slet ikke have vaeret postet.
Hvis du vil vaere til nytte kan du bidrage til OSS'en i stedet for at
skraemme folk.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/
| |
Peter Kruse (13-02-2002)
| Kommentar Fra : Peter Kruse |
Dato : 13-02-02 23:33 |
|
"Alex Holst" <a@area51.dk> skrev i en meddelelse
news:slrna6l19n.f36.a@C-Tower.Area51.DK...
> Peter Kruse <kruse@pc.dk> wrote:
> Dit indlaeg kan kun skabe unoedig panik. Ligesom dit Code Red indlaeg
> for mange maaneder siden burde det slet ikke have vaeret postet.
Det er meget muligt, at man kan have dette standpunkt, men hvis man af
forskellige årsager skulle overse en så alvorlig og omfattende advisory, som
det er tilfældet her, kan det få alvorlige konsekvenser. Det var ikke tanken
at sprede panik eller skabe "unødig" frygt, men sikkerhedsrelaterede
problemstillinger opstår "as-we-go" og hvis det ikke nævnes og diskuteres
her har jeg svært ved at se hvad man vil med et sådan forum. Personligt har
denne tråd gjort mig opmærksom på en problemstilling som jeg ikke havde
overvejet.
> Hvis du vil vaere til nytte kan du bidrage til OSS'en i stedet for at
> skraemme folk.
Ja, det var måske en ide. Lad os se om der på et tidspunkt kommer et emne
op, hvor jeg kan være behjælpelig.
Venligst
Peter Kruse
| |
|
|