[SECURITY-L] CAIS-Alerta: Aumento de atividade na porta 161 - SNMP
Daniela Regina Barbetti Silva
daniela em ccuec.unicamp.br
Qui Jun 5 09:32:25 -03 2003
----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----
From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject: CAIS-Alerta: Aumento de atividade na porta 161 - SNMP
To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Date: Thu, 5 Jun 2003 09:10:30 -0300 (BRT)
-----BEGIN PGP SIGNED MESSAGE-----
Prezados,
Nas ultimas semanas, o CAIS tem identificado um aumento consideravel de
atividade de reconhecimento nas portas 161/tcp e 161/udp. O registro e
analise de tal atividade foi possivel gracas aos mecanismos de monitoracao
de acesso a portas mantido pelo CAIS.
As portas mencionadas sao normalmente utilizadas pelo SNMP, Simple Network
Management Protocol, protocolo amplamente usado no gerenciamento de redes
TCP/IP.
As varreduras nas portas 161 tem resultado na geracao dos seguintes
alertas do Snort:
. [**] [1:1417:2] SNMP request udp [**]
. [**] [1:1418:2] SNMP request tcp [**]
. [**] [1:1420:2] SNMP trap tcp [**]
. [**] [1:1421:2] SNMP AgentX/tcp request [**]
. [**] [1:1411:3] SNMP public access udp [**]
. [**] [1:1413:2] SNMP private access udp [**]
Durante a analise do CAIS, percebeu-se que estes alertas podem ocorrer
isoladamente ou em conjunto, como mostrado acima. Assim tambem, eles podem
estar, ou nao, acompanhados do seguinte alerta do Snort:
. [**] [1:469:1] ICMP PING NMAP [**]
A este respeito, o CAIS gostaria de lembrar das conhecidas e amplamente
divulgadas vulnerabilidades de seguranca associadas ao protocolo SNMP. Em
particular, ressalta-se as multiplas vulnerabilidades identificadas e
anunciadas no inicio do ano de 2002 (veja referencias abaixo). Desde
entao, tem se discutido sobre o eventual desenvolvimento de ferramentas
capazes de explorar tais problemas.
Maiores informacoes sobre as mais recentes vulnerabilidades no protocolo
SNMP podem ser obtidas nas seguintes URLs:
. CERT Advisory CA-2002-03: Multiple Vulnerabilities In Many
Implementations of the Simple Network Management Protocol (SNMP)
http://www.cert.org/advisories/CA-2002-03.html
. Múltiplas Vulnerabilidades no SNMP
http://www.rnp.br/cais/alertas/2002/cais-ALR-13022002.html
. Simple Network Management Protocol (SNMP) Vulnerabilities
Frequently Asked Questions (FAQ)
http://www.cert.org/tech_tips/snmp_faq.html
Neste sentido, ressalta-se a importancia na atualizacao e configuracao dos
servicos SNMP em razao da sua larga utilizacao em equipamentos
estrategicos para a infraestrura de redes (roteadores, switches, etc.) e
da possibilidade de serem alvos de um ataque com resultados potencialmente
serios.
O CAIS propoe ainda que sejam questionadas e avaliadas as reais
necessidades de se manter habilitado este servico em alguns sistemas e
dispositivos de rede, sem um proposito definido. Caso a necessidade deste
servico seja confirmada, recomenda-se fortemente que ele seja devidamente
configurado a fim de se restringir o acesso ao mesmo.
Por ultimo, o CAIS recomenda fortemente aos administradores que fiquem
atentos a atividade analoga `a reportada neste alerta, nas redes sob sua
responsabilidade.
Atenciosamente,
################################################################
# CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA / RNP #
# #
# cais em cais.rnp.br http://www.cais.rnp.br #
# Tel. 019-37873300 Fax. 019-37873301 #
# Chave PGP disponivel em: http://www.cais.rnp.br/cais-pgp.key #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8
iQCVAwUBPt8zPukli63F4U8VAQF4uAQAjCDPsa4qc2kTL2rA6XC/hnr6EGzvFgWy
uJIS0VkgipnsKuJBgayOLWDMEvIgl+3u8a7MLYVyiQObazg4+PU2SvNw3WsB9QLr
90WVt6f0o1XEW+vK68a6C6tRmC7jdL6wKS1DYaBFXbekMR/7gc750DCL/WuVMJ9R
kYnVV6wOE64=
=vMnB
-----END PGP SIGNATURE-----
----- End forwarded message -----
Mais detalhes sobre a lista de discussão SECURITY-L