Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-1468

[Generic/SNMP] Schwachstelle in verschiedenen SNMPv3-Implementierungen (UPDATE)
(2008-06-11 13:13:35.510734+00) Druckversion

Quelle: http://archive.cert.uni-stuttgart.de/bugtraq/2008/06/msg00076.html

Eine Schwachstelle in den Routinen zur Authentifizierung von Paketen mittels HMAC verschiedener Implementierungen des Simple Network Management Protocol Version 3 (SNMPv3) kann von einem Angreifer dazu ausgenutzt werden, SNMPv3-Pakete zu fälschen.

Inhalt

Betroffene Systeme

  • Net-SNMP der Versionen bis 5.4.1, 5.3.2 und 5.2.4
  • UCD-SNMP, unbekannt, vermutlich alle Versionen
  • eCos, unbekannt, vermutlich alle Versionen
  • Cisco Produkte:
    • Cisco IOS
    • Cisco IOS-XR
    • Cisco Catalyst Operating System (CatOS)
    • Cisco NX-OS
    • Cisco Application Control Engine (ACE) Module
    • Cisco ACE Appliance
    • Cisco ACE XML Gateway
    • Cisco MDS 9000 Series Multilayer Fabric Switches
  • vermutlich weitere

Einfallstor

  • Speziell präpariertes SNMPv3-Paket

Angriffsvoraussetzung

  • Zugriff auf ein Netzwerk, über das SNMPv3-Pakete an ein verwundbares System gesandt werden können
    (network)
  • Kenntnis eines gültigen Benutzernamens
    (user credentials)

Angriffsvektorklasse

  • über eine Netzwerkverbindung
    (remote)

Auswirkung

  • unberechtigtes Abfragen von Daten via SNMPv3
    (information leak)
  • Einschleusen gefälschter SNMPv3-Pakete in eine kryptographisch abgesicherte Sitzung bzw. SNMPv3-Kommunikation
    (data injection)

Typ der Verwundbarkeit

  • Entwurfsfehler
    (design flaw)

Gefahrenpotential

  • Aus Sicht eines betroffenen Systems: hoch
  • Aus Sicht einer betroffenen IT-Infrastruktur: hoch bis sehr hoch

(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung

Eine Schwachstelle in der HMAC-Implementierung verschiedener Produkte, die SNMPv3 implementieren, ermöglichen einem Angreifer, mit sehr geringem Aufwand, authentifizierte SNMPv3-Pakete zu fälschen und in eine SNMPv3-Kommunikationsbeziehung einzuschleusen. Dies kann z.B. dazu ausgenutzt werden, unberechtigt Daten von Systemen abzufragen oder Daten an sie zu senden, die nur in einer mittels HMAC abgesicherten Kommunikationsbeziehung akzeptiert werden.

Die Schwachstelle bewirkt, dass nur das erste Byte des HMAC-Codes, der zur authentifizierung einer SNMPv3-Nachricht verwendet wird, durch die betroffenen Implementierungen ausgewertet wird. Dadurch wird die Menge der möglichen Authentifizierungsschlüssel auf eine Mächtigkeit von 256 reduziert und ein Angreifer kann durch simples Probieren den richtigen Schlüssel ermitteln.

Ein Angreifer kann diese Schwachstelle ausnutzen, um per SNMPv3 verwaltete Geräte (etwa Switches oder Router) abzufragen oder ggf. umzukonfigurieren, je nach dem, welche Managementfunktionen mittels SNMPv3 in einer Installation verwendet werden. Im Falle einer betroffenen IT-Infrastruktur, die sich massiv auf die Möglichkeiten verlässt, kann dies fatale Folgen haben.

Gegenmaßnahmen

  • Net-SNMP: keine Information verfügbar
  • UCD-SNMP: keine Information verfügbar
  • eCos: keine Information verfügbar
  • Cisco: Installation der im Cisco Security Advisory 107408 angegebenen Patches, bzw. korrigierten Programmversionen

Vulnerability ID

Weitere Information zu diesem Thema

Exploit Status

  • Exploitcode ist verfügbar

Revisionen dieser Meldung

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.