Robert Graham wies in seiner Mail more SNMP notes an Bugtraq darauf hin, dass die SNMP Probleme schon seit 1990 bekannt sind - allerdings als unwichte Bugs und nicht als Verwundbarkeit behandelt wurden. Er empfiehlt auch, Port 7/udp zu blocken, da sonst gespoofte UDP-Pakete gebouncet werden können.
Praktisch alle SNMP-Server Implementation sind betroffen. So zB. die von FreeBSD, die von Irix, die von Solaris sowie der ucd SNMP. Letzterer wird auch unter Linux verwendet. Weitere werden jedoch bestimmt folgen.
Es ist also dringend nötig, SNMP abzuschalten. Und zwar ganz - IP-basierende ACLs reichen nicht aus, da sich UDP Pakete einfach spoofen lassen.
Besonders Problematisch sind hierbei Blackboxes. Zum Einten meine ich damit Geräte wie Printserver oder Switches und zum Zweiten meine ich damit closed-source Software. Beide lassen sich jetzt nur schwer updaten. Und ich denke, dass auch in diesem Fall die Schwächen in SNMP zuschlagen werden.... glücklich, wer SNMP wenigstens ganz deaktiveren kann auf diesen Blackboxen.
Für alle, die den SNMP-Daemon nur am Laufen haben, damit sie MRTG füttern können, gibt es unter Linux zumindest eine Alternative. Sie nennt sich MRTG-eth-probe und holt sich die von MRTG gewünschten Daten direkt von /proc.
|