domingo, 29 de abril de 2018

#Strinbleed, SNMP Protocol "God Mode".

Hoy me levante recordando a #strinbleed, el primer interesante hallazgo que sacamos con el amigo Jose (@bertinjoseb). Esto fue a principios de Abril y recien el marzo/2017 había escrito algo respecto. En ese momento hacia referencia a unos "curiosos" Comunity strings. 

Un tiempo despues salio el CVE-2017-5135 y al hallazgo lo bautizamos como Stringbleed.





Community strings 'CURIOSOS'
Cuando digo 'CURIOSO', me refiero a cualquier community string que se le pase, menor a 255 caracteres de longitud, sera dado como valido, para 'loguearnos' y consultar SNMP.

Para la prueba de concepto me arme una pequeña tool, que (subi a github) para testar estos 'curiosos' Comunnity string








Claramente que distintas "llaves" abran una misma puerta es un problema gordo. Pero tranquilos, el asunto se puede poner mas gordo e interesante:

Corremos un poco de snmpwalk.



iso.3.6.1.2.1.1.4.0 = STRING: "(unknown)"
iso.3.6.1.2.1.1.5.0 = STRING: "CableHome"
iso.3.6.1.2.1.1.6.0 = STRING: "(unknown)"


snmpSET (& snmpWALK):


Para complicar un poco mas el tema como podremos observar tambien contamos con privilegios de escritura.


A quien afecta ?
Los modelos que identificamos son 78:

Modelos:
  • 5352
  • BCW700J
  • BCW710J
  • BCW710J2
  • C3000-100NAS
  • CBV734EW
  • CBV38Z4EC
  • CBV38Z4ECNIT
  • CBW383G4J
  • CBW38G4J
  • CBW700N
  • CG2001-AN22A
  • CG2001-UDBNA
  • CG2001-UN2NA
  • CG2002
  • CG2200
  • CGD24G-100NAS
  • CGD24G-1CHNAS
  • CM5100
  • CM5100-511
  • CM-6300n
  • DCX-3200
  • DDW2600
  • DDW2602
  • DG950A
  • DPC2100
  • DPC2320
  • DPC2420
  • DPC3928SL
  • DVW2108
  • DVW2110
  • DVW2117
  • DWG849
  • DWG850-4
  • DWG855
  • EPC2203
  • EPC3212
  • IB-8120-W21
  • IB-8120-W21E1
  • MNG2120J
  • MNG6200
  • MNG6300
  • SB5100
  • SB5101
  • SB5102
  • SBG6580
  • SBG900
  • SBG901
  • SBG941
  • SVG1202
  • SVG2501
  • T60C926
  • TC7110.AR
  • TC7110.B
  • TC7110.D
  • TC7200.d1I
  • TC7200.TH2v2
  • THG540
  • THG541
  • Tj715x
  • TM501A
  • TM502B
  • TM601A
  • TM601B
  • TM602A
  • TM602B
  • TM602G
  • TWG850-4U
  • TWG870
  • TWG870U
  • U10C019
  • U10C037
  • VM1700D
  • WTM552G
  • WTM652G
  • DCM-704
  • DCM-604
  • DG950S

Los vendors afectados son 19: 
  • Ambit
  • ArrisInteractive,L.L.C.
  • Bnmux
  • CastleNet
  • Cisco
  • Comtrend
  • D-Link
  • iNovoBroadband
  • Kaonmedia
  • MotorolaCorporation
  • NET&SYS
  • NETWAVENetworks,Inc.
  • S-A
  • Skyworth
  • Technicolor
  • TEKNOTEL
  • Thomson
  • Ubee
  • ZoomTelephonics,Inc.

El grado de exposición no es para nada poco. Y haciendo referencia SOLO a los resultados que arroja Shodan: 768.373




Ese screenshot corresponde al output de una herramienta (https://github.com/ezelf/snmpTools_CVE-2017-5135/tree/master/sheepCounter) a le que le paso modelos, y esta me devuelve los totales que encontró el Shodan.

Como dato, cuando corri la herramienta por primera vez en numero estaba en los 536691:



Saludos,



No hay comentarios.:

Publicar un comentario