網絡管理漏洞暴露了電纜調制解調器的黑客攻擊

admin

網絡管理漏洞暴露了電纜調制解調器的黑客攻擊

SNMP認證旁路漏洞可用于劫持來自世界各地的數十萬個電纜調制解調器。
全球數十萬個互聯網網關設備，主要是住宅電纜調制解調器，由于其簡單網絡管理協議實施的嚴重弱點，易受黑客攻擊。

SNMP用于自動化網絡設備識別，監控和遠程配置。在許多設備（包括服務器，打印機，網絡集線器，交換機和路由器）中默認情況下，它是受支持和啟用的。

獨立研究人員Ezequiel Fernandez和Bertin Bervis最近發現了一種方法來繞過來自世界各地的ISP向其客戶提供的78種電纜調制解調器的SNMP認證。
他們的互聯網掃描顯示了成千上萬的設備，其配置可以通過他們發現并被稱為StringBleed的SNMP弱點遠程更改。

SNMP協議的版本1和2不具有強大的身份驗證。它們通過稱為社區字符串的密碼為設備的配置提供只讀或寫訪問權限。默認情況下，這些密碼對于只讀訪問是“公開的”，“私有”用于寫訪問，但設備制造商可以在其實現中更改它們，并且通常建議這樣做。

通過默認的“公共”SNMP社區字符串泄漏敏感的配置數據是一個已知的問題，多年來已經影響了許多設備。 2014年，Rapid7的研究人員在Brocade，Ambit和Netopia制造的近五十萬個互聯網連接設備中發現了SNMP泄漏。

然而，Fernandez和Bervis發現的更糟糕的是：來自多個供應商的設備幾乎可以接受SNMP社區字符串的任何值，并解鎖對其配置數據的讀寫訪問。

兩位研究人員首先發現了少數易受攻擊的設備，其中包括Cisco DPC3928SL電纜調制解調器，該公司現在是Technicolor產品組合的一部分，該公司將于2015年收購思科的Connected Devices部門。

研究人員聲稱，當他們向Technicolor報告問題時，該公司告訴他們，這是由墨西哥單個ISP訪問配置錯誤的結果，而不是設備本身的問題。

這促使研究人員進行更廣泛的互聯網掃描，從而發現了來自19個制造商的78個易受攻擊的電纜調制解調器模型，包括思科，Technicolor，摩托羅拉，D-Link和Thomson。

可以直接在互聯網上定向的易受攻擊的設備的數量從一些型號的少于10個到其他幾十個數十萬。研究人員說，例如互聯網上有近280,000臺脆弱的Thomson DWG850-4設備，其中絕大多數都在巴西。

研究人員認為，基礎問題位于調制解調器使用的SNMP實現中，而不是由ISP配置錯誤的結果。

無論如何，問題是嚴重的，因為攻擊者可以利用這個缺陷來提取管理和Wi-Fi密碼，或者通過修改配置來劫持設備。

如果ISP為其提供了一個易受攻擊的設備，那么用戶可以做的不多，除了要求不同的型號或者安裝自己的調制解調器。不幸的是，很多ISP允許他們的住宅用戶使用他們自己的網關設備，因為他們希望在他們的網絡上有一致性和遠程管理功能。

確定特定設備是否容易受到此問題的影響，但需要一些工作。可以使用像ShieldsUp這樣的在線端口掃描器來確定設備是否通過其公共IP地址響應SNMP請求, 遠程控制, 遠程控制軟件。

如果SNMP打開，則使用不同的在線工具來檢查設備的SNMP服務器是否在使用“公共”或隨機社區字符串時返回有效的響應。至少這將表明信息泄露問題。