[SECURITY-L] CAIS-Alerta: Vulnerabilidade em implementacoes do protocolo SNMPv3 (US-CERT VU#878044)
CSIRT - UNICAMP
security em unicamp.br
Qui Jun 12 09:43:33 -03 2008
----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----
From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject: CAIS-Alerta: Vulnerabilidade em implementacoes do protocolo SNMPv3
(US-CERT VU#878044)
To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Date: Wed, 11 Jun 2008 11:55:53 -0300 (BRT)
-----BEGIN PGP SIGNED MESSAGE-----
Prezados,
O CAIS esta' repassando o alerta do US-CERT, intitulado "US-CERT
Vulnerability Note VU#878044 - SNMPv3 improper HMAC validation allows
authentication bypass", que trata de uma vulnerabilidade presente no
processo de autenticacao do SNMPv3.
SNMPv3 e' a atual versao do protocolo Simple Network Management Protocol
(SNMP), um protocolo de monitoracao muito utilizado na administracao de
dispositivos de rede.
A vulnerabilidade em questao esta' na autenticacao de algumas
implementacoes de SNMPv3, que utiliza keyed-Hash Message Authentication
Code (HMAC) de forma incompleta, ou seja, verifica apenas o primeiro byte.
Esta falha na autenticacao permite que o atacante tenha uma chance em 256
de acertar este primeiro caractere do HMAC correto, ou seja, uma
probabilidade de autenticacao com sucesso muito maior.
Esta vulnerabilidade permite que um atacante leia e modifique qualquer
objeto SNMP que possa ser acessado, podendo permitir a visualizacao e
alteracao da configuracao destes dispositivos de rede. O atacante precisa
conhecer o nome de um usuario valido para ter sucesso neste ataque.
Sistemas afetados:
. Cisco
- Cisco IOS
- Cisco IOS-XR
- Cisco Catalyst Operating System (CatOS)
- Cisco NX-OS
- Cisco Application Control Engine (ACE) Module
- Cisco ACE Appliance
- Cisco ACE XML Gateway
- Cisco MDS 9000 Series Multilayer Fabric Switches
. eCos
. Juniper Networks, Inc.
. Net-SNMP
. Network Appliance, Inc.
. Red Hat, Inc.
. SNMP Research
. Sun Microsystems, Inc.
. UCD-SNMP
Esta e' a lista das implementacoes de SNMPv3 afetadas, de acordo com as
informacoes levantadas no momento da elaboracao desde alerta do CAIS. Para
uma lista atualizada de sistemas afetados por favor consulte o alerta
original do US-CERT (VU#878044).
Se por algum motivo nao for possivel a atualizacao em seu ambiente por
favor consulte as medidas paliativas que o fornecedor recomenda.
Correcoes disponiveis:
Recomenda-se fazer a atualizacao para as versoes disponiveis no site
oficial dos fornecedores.
Mais informacoes:
. US-CERT VU#878044 - SNMPv3 improper HMAC validation allows authentication bypass
http://www.kb.cert.org/vuls/id/878044
. oCERT Advisory #2008-006 - multiple SNMP implementations HMAC authentication spoofing
http://www.ocert.org/advisories/ocert-2008-006.html
. Cisco Security Advisory: SNMP Version 3 Authentication Vulnerabilities
http://www.cisco.com/warp/public/707/cisco-sa-20080610-snmpv3.shtml
. SANS ISC Handler's Diary 2008-06-10: SMNP v3 trouble
http://isc.sans.org/diary.html?storyid=4553
Identificador CVE (http://cve.mitre.org): CVE-2008-0960
O CAIS recomenda que os administradores mantenham seus sistemas e
aplicativos sempre atualizados, de acordo com as ultimas versoes e
correcoes oferecidas pelos fabricantes.
Os Alertas do CAIS tambem sao oferecidos no formato RSS/RDF:
http://www.rnp.br/cais/alertas/rss.xml
Atenciosamente,
################################################################
# CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) #
# Rede Nacional de Ensino e Pesquisa (RNP) #
# #
# cais em cais.rnp.br http://www.cais.rnp.br #
# Tel. 019-37873300 Fax. 019-37873301 #
# Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.6 (GNU/Linux)
Comment: Made with pgp4pine 1.76
iQCVAwUBSE/nf+kli63F4U8VAQHfqAP/ZN/SQhehneCyOAl91lCfSBmXu8tSWG6u
nwHvke08tXQ1qmVIL8Qh0bDljctFU46aFvvzJIFTLtmEoxCt+0Y2BBw7pr/R+m53
bwlj9p8mnK8HqlS/pp/49+gE8Z9wZyza75wYf6wOHBEcknjKGRSYGca+ZLEILRB1
r+u0AePcpvk=
=TC+h
-----END PGP SIGNATURE-----
----- End forwarded message -----
Mais detalhes sobre a lista de discussão SECURITY-L