DoS tramite SNMP

Movimento merci / Freight trains control roomDopo DNS e NTP è la volta di SNMP, un protocollo utilizzato per il monitoraggio dei dispositivi.

Prolexic ha evidenziato come sia possibile utilizzare gli host esposti a Internet con attivo SNMP per portare un attacco distribuito (DDoS) come è già successo con DNS e NTP.

Utilizzando SNMP con un pacchetto di poco meno di 100 byte modificato ad arte con un mittente contraffatto è possibile ottenere una risposta di circa 60k, la cui banda è a carico del dispositivo esposto a Internet e non dell’attaccante (reflection).

La possibilità non è solamente teorica perché ISC ha ricevuto dei pacchetti che evidenziano come questo metodo di attacco sia già utilizzato da alcuni attaccanti.

Chi espone a Internet dei dispositivi (a partire dalle stampanti) con abilitato SNMP presumendo che restino segreti solo perché non sono linkati dovrà rivedere presto le sue convinzioni e proteggere gli host di cui è responsabile se non vuole che la sua incuria causi danno a terzi.

Se proprio è necessario esporre un dispositivo con SNMP si possono seguire delle semplici regole:

  • l’accesso SNMP deve essere limitato a chi ne ha effettivamente titolo tramite ACL o firewall;
  • le community non devono essere quelle standard o comunque facilmente indovinabili;
  • se il software lo consente, abilitare l’autenticazione con credenziali non facili da indovinare;
  • se il software lo consente, utilizzare SNMPv3 e disabilitare SNMPv1 e SNMPv2;
  • limitare, se possibile, l’output di SNMP utilizzando le view.

Se un host esposto a Internet non usa SNMP, è bene disabilitarlo quanto prima.

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

Spazio per un commento