Jamsux's Blog

junho 7, 2010

Os riscos do SNMP com comunidade Public

Filed under: Uncategorized — jamsux @ 3:48 pm

Olá a todos, peço desculpas pela demora do post, mas é que ultimamente estou estudando para a certificação ITIL.

Bom, venho alertar alguns sysadmins do perigo de deixar seu servidor com a comunidade SNMP como padrão (public), semana passada estava na faculdade, experimentando a ultima versão do Nessus, depois de alguns plugins atualizados resolvi testar, e é claro tinha que ser na facul, depois de alguns minutos de espera tive uma surpresa, além de algumas coisinhas tipo (TraceEnable, ServerTokens) do apache mal configurado, achei também a boa e velha comunidade do SNMP v1 como padrão, pensei êbááá, tenho ainda 30 min pra me divertir.

Depois de descobrir isso só foi executar alguns comandos e ter um pouco de paciência, alguns deles:

#———————————————————————–#
Mostrou conexões remotas:

$ snmpwalk -Os -c public -v 1 <IP_DO_SERVER>  tcpConnRemAddress

Mostrou unidades de armazenamento:

$ snmpwalk -Os -c public -v 1 <IP_DO_SERVER> hrStorage

Mostrou dispositivos:

$ snmpwalk -Os -c public -v 1 <IP_DO_SERVER> hrDevice

Mostrou dados do sistema

$ snmpwalk -Os -c public -v 1 <IP_DO_SERVER> system

#————————————————————————-#

Gente óbivo que apareceu muita informações e muito lixo, mas também apareceu muita informação legal, não arrumadinho assim como vou mostrar abaixo porém só foi analisar linha por linha e pensar um pouquinho e pronto.

#————————————————————————–#

PROCESSADOR
GenuineIntel: Intel(R) Xeon(R) CPU           E5345  @ 2.33GHz
#————————————————————————–#

INTERFACE ATIVA: eth0
#————————————————————————–#

NÃO ACREDITEI QUANDO VI ISSO -> Ext2

hrFSMountPoint.1 = STRING: “/”  Ext2 (readWrite) hrFSBootable.1 = INTEGER: true(1)
hrFSMountPoint.2 = STRING: “/home” (readWrite) Ext2
hrFSMountPoint.3 = STRING: “/var” (readWrite) Ext2
hrFSMountPoint.4 = STRING: “/backup” (readWrite) Ext2

***Os diretórios acima são as partições existentes no servidor, logo depois mostrou as permissões existentes nas partições, logo depois o tipo de sistema de arquivos.
#————————————————————————–#

Percebe-se que é um servidor virtual
/usr/sbin/vmware-guestd
#————————————————————————–#

O NOME MAQUINA:
sysName.0 = STRING: jacmap03
#————————————————————————–#

ESSA FOI A INFORMAÇÃO MAIS ÚTIL – Como eu sei (Engenharia social com um analista de suporte deles) que esse mesmo servidor foi reinstalado tem pouco tempo por razões de “crash” no sistema, e também sei que existe apenas esse servidor responsável por esse serviço, presumo que os administradores não têm uma política de atualização ou têm medo de atualizá-lo, com isso saber qual versão do kernel vai ajudar a pesquisar quais as vulnerabilidades do mesmo.

DESCRIÇÃO DO KERNEL
sysDescr.0 = STRING: Linux jacmap03 2.6.24-16-virtual #1 SMP Thu Apr 10 14:32:04 UTC 2008 i686
#————————————————————————–#

TEMPO LIGADO
sysUpTimeInstance = Timeticks: (112388058) 13 days, 0:11:20.58
#————————————————————————–#

Bom pessoal, apesar de obter essas informações não fiz nada, afinal de conta fui um bom aluno na disciplina de Ética na faculdade :P. Fiz um apontamento e informei ao Coordenador e Analista de TI da faculdade (Afinal eles também são meus chefes em outra empresa “fazendo a média!! :P”).

Vou deixar que vocês tirem conclusão da situação acima e levem o aprendizado para seu ambiente de TI.

Anúncios

4 Comentários »

  1. O uso da comunidade com o nome public não chega a ser um problema grave, o problema neste caso em questão refere-se ao fato de pessoas que não deveriam acessar ter tal previlégio.

    Então a solução é a implementação de segurança no snmpd.com

    Observem:
    Dentro do arquivo /etc/snmp/snmpd.con

    com2sec local localhost public
    com2sec mynet 192.168.1.0/29 public

    As linhas acima permit a utilização do localhos e a rede mynet desta forma nenhum fora desta faixa consegue realizar a consulta fora deste range.

    O segundo passo é criar o grupo de permissão:

    group MyRWGroup v1 local
    group MyRWGroup v2c local
    group MyRWGroup usm local
    group MyROGroup v1 mynet
    group MyROGroup v2c mynet
    group MyROGroup usm mynet

    As linhas acimas dá direto ao grupo realizar as consultas v1 v2c usm em local host e nas mynet

    MyRW = Leitura e escrita
    MyRO = Somente leitura

    Comentário por Roger — agosto 26, 2010 @ 5:35 pm

    • Valeu Chefinhooooo!!

      Comentário por jamsux — agosto 27, 2010 @ 3:35 pm

      • posso publicar no meu blog esta materia?

        Aguardo respostas

        PS:Blog em favoritos, parabéns!!

        Comentário por unknowantisec — janeiro 18, 2012 @ 11:11 am

      • Sim. Fique à vontade.

        Comentário por jamsux — janeiro 18, 2012 @ 11:22 am


RSS feed for comments on this post. TrackBack URI

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

Blog no WordPress.com.

%d blogueiros gostam disto: