Open SNMP Este reporte identifica aquellos hosts con el servicio SNMPv2 expuesto en internet y que responden a la comunidad “public”. Estos hosts tienen podrían ser usados en ataques de denegación de servicios mediante la técnica de amplificación. DETECCIÓN La prueba consiste en realizar una solicitud al OID 1.3.6.1.2.1.1.1.0 (sysDescr), si esta prueba es efectiva se realiza una solicitud al OID 1.3.6.1.2.1.1.5.0 (sysName). Los comandos que permiten esta comprobación son: snmpget -c public -v 2c [ip] 1.3.6.1.2.1.1.1.0 snmpget -c public -v 2c [ip] 1.3.6.1.2.1.1.5.0 INFORMACIÓN DE LOS CAMPOS ADJUNTOS AL REPORTE:
Campos Descripción
Vulnerabilidad Hace referencia al nombre de la vulnerabilidad
Dirección IP Dirección IP del dispositivo en cuestión
Puerto Puerto que responde a la vulnerabilidad
TIMESTAMP_ECUCERT Tiempo en que la IP fue probada por el ECUCERT
AS_name Nombre del ASN
STATUS_ECUCERT Estado de la vulnerabilidad
timestamp_shadowserver Fecha y hora de reporte de Shadowserver en UTC+0
ip Dirección IP del host involucrado
protocol Protocolo de capa transporte (usualmente UDP)
port Puerto desde donde se obtiene la respuesta SNMP
hostname DNS reverso del host involucrado
sysdesc System Description que se obtiene del OID 1.3.6.1.2.1.1.1
sysname System Name que se obtiene del OID 1.3.6.1.2.1.1.5
asn ASN donde se encuentra el host involucrado
geo País donde se encuentra el host involucrado
region Provincia donde se encuentra el host involucrado
city Ciudad donde se encuentra el host involucrado
version Versión de SNMP a la que responde la IP involucrada (usualmente v2c)
 ACCIÓN RECOMENDADA En SNMPv2 la comunidad usada por defecto es “public”, por lo que si este valor de comunidad se encuentra habilitado y además publicado en internet sin la protección de un firewall puede ser consultado de manera libre por cualquiera que lo requiera. A través de SNMP es posible conocer información sensible de un host o dispositivo, como su nombre, descripción, interfaces de red, propiedades del sistema, etc. Por estas razones es recomendable el uso de SNMP en su versión 3 (tres) que permite la encripción de la comunicación y requiere de autenticación por nombre de usuario y contraseña. En el caso de desear seguir usando SNMPv2 es recomendable cambiar el nombre de comunidad “public” a uno más robusto. Es importante mencionar que SNMPv2 es un protocolo que no maneja encriptación, por lo que cualquiera que pueda hacer un ataque MITM (Man in the middle) puede interpretar la comunicación. En EcuCERT recomendamos el uso de SNMPv3, y publicar el servicio en internet sólo si es necesario. Enlaces de interés: https://snmpscan.shadowserver.org/ https://www.shadowserver.org/wiki/pmwiki.php/Services/Open-SNMP https://www.us-cert.gov/ncas/alerts/TA14-017A Links de descarga:
SNMP - Descripción
MD5: 538234833898a41fc041b33171eb7472
Dirección - Av. Amazonas N 40-71 y Gaspar de Villarroel Quito, Ecuador Teléfono - (+593) 22 272-179
EcuCERT
ecucert Centro de respuesta a incidentes informáticos del Ecuador
Llaves PGP/GPG
(+593) 22 272-179
Envíanos un Correo

Copyright © 2017 EcuCERT