网络管理漏洞暴露了电缆调制解调器的黑客攻击

admin

网络管理漏洞暴露了电缆调制解调器的黑客攻击

SNMP认证旁路漏洞可用于劫持来自世界各地的数十万个电缆调制解调器。
全球数十万个互联网网关设备，主要是住宅电缆调制解调器，由于其简单网络管理协议实施的严重弱点，易受黑客攻击。

SNMP用于自动化网络设备识别，监控和远程配置。在许多设备（包括服务器，打印机，网络集线器，交换机和路由器）中默认情况下，它是受支持和启用的。

独立研究人员Ezequiel Fernandez和Bertin Bervis最近发现了一种方法来绕过来自世界各地的ISP向其客户提供的78种电缆调制解调器的SNMP认证。
他们的互联网扫描显示了成千上万的设备，其配置可以通过他们发现并被称为StringBleed的SNMP弱点远程更改。

SNMP协议的版本1和2不具有强大的身份验证。它们通过称为社区字符串的密码为设备的配置提供只读或写访问权限。默认情况下，这些密码对于只读访问是“公开的”，“私有”用于写访问，但设备制造商可以在其实现中更改它们，并且通常建议这样做。

通过默认的“公共”SNMP社区字符串泄漏敏感的配置数据是一个已知的问题，多年来已经影响了许多设备。 2014年，Rapid7的研究人员在Brocade，Ambit和Netopia制造的近五十万个互联网连接设备中发现了SNMP泄漏。

然而，Fernandez和Bervis发现的更糟糕的是：来自多个供应商的设备几乎可以接受SNMP社区字符串的任何值，并解锁对其配置数据的读写访问。

两位研究人员首先发现了少数易受攻击的设备，其中包括Cisco DPC3928SL电缆调制解调器，该公司现在是Technicolor产品组合的一部分，该公司将于2015年收购思科的Connected Devices部门。

研究人员声称，当他们向Technicolor报告问题时，该公司告诉他们，这是由墨西哥单个ISP访问配置错误的结果，而不是设备本身的问题。

这促使研究人员进行更广泛的互联网扫描，从而发现了来自19个制造商的78个易受攻击的电缆调制解调器模型，包括思科，Technicolor，摩托罗拉，D-Link和Thomson。

可以直接在互联网上定向的易受攻击的设备的数量从一些型号的少于10个到其他几十个数十万。研究人员说，例如互联网上有近280,000台脆弱的Thomson DWG850-4设备，其中绝大多数都在巴西。

研究人员认为，基础问题位于调制解调器使用的SNMP实现中，而不是由ISP配置错误的结果。

无论如何，问题是严重的，因为攻击者可以利用这个缺陷来提取管理和Wi-Fi密码，或者通过修改配置来劫持设备。

如果ISP为其提供了一个易受攻击的设备，那么用户可以做的不多，除了要求不同的型号或者安装自己的调制解调器。不幸的是，很多ISP允许他们的住宅用户使用他们自己的网关设备，因为他们希望在他们的网络上有一致性和远程管理功能。

确定特定设备是否容易受到此问题的影响，但需要一些工作。可以使用像ShieldsUp这样的在线端口扫描器来确定设备是否通过其公共IP地址响应SNMP请求, 远程控制, 远程控制软件。

如果SNMP打开，则使用不同的在线工具来检查设备的SNMP服务器是否在使用“公共”或随机社区字符串时返回有效的响应。至少这将表明信息泄露问题。