A hét elején kezdtek el szivárogni azok a levelek, amelyek alapján látszott, hogy az egyes SNMP implementációk környékén nincs valami rendben, most pedig megjelent erről a témáról egy CERT Advisory is.Az első levelek a témában a Securityfocus egyik levelezési listáján jelentek meg, amelyekben a CISCO routerek SNMP-vel való támadhatóságáról beszéltek. A hibák kihasználásával DoS-t (Denial of Service - a szolgáltatás működésének veszélyeztetése), nem megengedett hozzáférést, illetve instabil működést érhetnek el a támadók.
Az SNMP (Simple Network Management Protocol) hálózati erőforrások monitorozására, kezelésére szolgál, szinte minden operációs rendszerben elérhető valamilyen formában (beleértve természetesen a routerek, switchek és egyéb hálózati eszközöket is). A leggyakrabban használt a protokol 1-es változata (SNMPv1), amely számos üzenetet definiál, amelyben információkat kérhetünk le, beállításokat módosíthatunk, vagy akár riasztásokat is küldhetünk bizonyos események bekövetkezésekor. Az Oulu Egyetem Biztonságos Programozó Csoportja (OUSPG - Oulu University Secure Programming Group) több gyártó SNMPv1 implementációjában is talált hibákat. A Csoport a PROTOS segítségével, amely biztonsági hibák felderítésére szolgál különböző protokollokban több hibát is talált a protokoll trap és kérvénykezelésében.
Az SNMP trapeket az SNMP démonok (ügynökök) küldik az SNMP menedzsereknek valamilyen figyelmeztetés, vagy hibejelenség esetén. Az SNMP menedzserek ezeket az üzeneteket feldolgozzák és ez az a folyamat, amely nem minden esetben működik előirásszerűen.
A talált hibák másik előfordulási lehetősége a fenti folyamat ellentéte, a kérések küldése, amikor az SNMP menedzserek küldenek valamilyen kérést az SNMP ügynöknek, amelyet az hibásan dolgoz fel, ezáltal biztonsági rés keletkezik. Némely hiba kihasználásához még a communityt sem kell eltalálni, így ezek fokozott veszélyt jelentenek.
Lehetséges megoldások:
Az SNMP szolgáltatás (161, 162-es UDP portok, bizonyos esetekben a 161, 162, 199, 391, 705, 1993-es TCP és a 199, 391, 1993-as UDP portok is, lásd /etc/services) szűrése az illetéktelen hozzáférés megakadályozásának érdekében.
Az adott SNMP implementáció javításának telepítése (lásd a gyártó weblapját).
Az SNMP szolgáltatás leállítása.
Az alapértelmezett communityk átállítása (ez nem minden esetben lehet eredményes, egyrészt találgatással, hálózati forgalom lehallgatásával ezek kinyerhetők, másrészt némely hiba nem feltételezi az adott community nevének ismeretét).
Az SNMP forgalom menedzsment hálózatra való áthelyezése (illetéktelenek kizárása).
Bővebb információkat a CA-2002-03-as CERT Advisory tartalmaz, ahol elérhető a különböző gyártók biztonsági hibákkal foglalkozó weblapja is.