Опаснейшая ошибка в важнейшем интернет-протоколе SNMP

Координационный центр CERT Computer Emergency Response Team (CERT) Coordination Center, специализирующейся на мониторинге проблем компьютерной безопасности, опубликовал информацию о серьезных ошибках, обнаруженных в реализации протокола SNMP (Simple Network Management Protocol).

В заявлении CERT в срочном порядке рекомендуется системным администраторам и специалистам по сетям проверить все устройства, управляемые централизованно посредством SNMP.

Этот протокол является одним из основных в интернете и используется для получения информации о состоянии и производительности различного сетевого оборудования: маршрутизаторов, коммутаторов, принтеров и т.д. Уязвимыми являются продукты более чем двухсот производителей оборудования, подключаемого к интернету.

Выявленные ошибки в SNMP могут привести к самым худшим последствиям. Это грозит несанкционированным доступом, атаками типа Denial-of-Service (DoS). К примеру, компьютер или сетевое устройство могут быть отключены от интернета или вообще выключены. В некоторых случаях хакеры могут использовать известный эффект переполнения буфера и захватить управление уязвимым устройством.

В документе приводятся комментарии около 50 компаний, выпускающих продукты, подверженные влиянию ошибок: Microsoft, Sun Microsystems, Cisco Systems, 3Com, Nortel Networks, Hewlett-Packard и др.
Проблемы вызваны ошибками, вкравшимися в популярные реализации SNMP. CERT/CC предупреждает, что они могут использоваться для атак на опорные узлы интернета. Хотя многие компании своевременно отреагировали на сигнал, продукты, на которые могут повлиять эти проблемы, выпускает еще больше производителей — почти 250.

Уязвимость SNMP отражается на хабах и коммутаторах 3Com и Cisco. Некоторые операционные системы, такие как HP-UX от Hewlett-Packard, используют протокол для дистанционного администрирования системы. Кроме того, уязвимыми могут оказаться принтеры и комбинированные офисные системы таких компаний, как HP и Canon. В ‘группу риска’ входит, как ни странно, даже сетевое медицинское оборудование, мониторы и осциллографы, некоторые источники бесперебойного питания и цифровые камеры.

Уязвимость кода SNMP была обнаружена специалистами из Secure Programming Group из финского Университета Оулу (Oulu) в прошлом году в Финляндии. Летом исследователи предупредили об этом CERT/CC, который с тех пор старался поставить в известность производителей сетевого оборудования и телекоммуникационные компании.
Simple Network Management Protocol был разработан в конце 80-х и быстро превратился в общепризнанный способ управления смешанными сетями устройств. Группа из Университета Оулу изучила только первую версию протокола, так что предупреждение CERT распространяется лишь на эту наиболее раннюю версию. Последняя, третья версия стандарта вышла в 2001 году, и многие проблемы безопасности в ней решены. Но версия 3 пока не получила широкого распространения.

После прошлогоднего совещания с крупными операторами связи информация о проблемах безопасности SNMP, которую в течение пяти месяцев удавалось сохранять в тайне, начала просачиваться наружу. Тогда руководители CERT, опасаясь, что слухи привлекут внимание хакеров, решили распространить заявление. Это и было сделано во вторник в 10 утра по Восточному времени.

Среди образцов программного обеспечения, подверженного ошибке, называются продукты компаний Avaya, 3Com, Caldera, Cisco, Compaq, Computer Associates, Hewlett-Packard, Juniper, Lotus, Lucent, Microsoft, Netscape, Nokia, Novell, Silicon Graphics и Sun.

Проблема касается Microsoft Windows 95, 98, 98SE, NT 4.0, NT 4.0 Terminal Server Edition, 2000 и XP. Microsoft в данный момент разрабатывает заплатку, которая должна перекрыть эту брешь. До момента появления этого патча разработчики ПО из Редмонда рекомендуют юзерам SNMP отключить этот сервис.

Анна Григорьева