Как стать автором
Обновить

Всплеск brute-force атак направленный на легко подбираемые доступные для записи snmp community

Время на прочтение2 мин
Количество просмотров7.2K
Добрый день всем,

По работе столкнулся с интересным всплеском сетевой активности в интернете в последние дни. Работаю я в Cisco TAC, поэтому и статья об этом.
А именно кто-то в интернете запустил глобальное сканирование сетевых устройств на предмет лекго-подбираемых доступных для записи snmp community и при успехе стирает с устройств таблицу роутинга.
Очевидно, это ведет к внезапному прекращению корректной работы устройства (чаще всего это пограничные роутеры) и открытию излишнего количества кейсов в техподдержку.
Конечно же Cisco как всегда рекомендует тщательно следить за snmp, особенно за такой частью как имена community доступных для записи, использовать access list'ы и напоминает что community по дизайну это ни что иное как пароль, и он вообще-то должен быть сложным.

Тем не менее в результате этой атаки выявилось несколько поразительных моментов:
— сам по себе вектор атаки направленный на такой участок дает неограниченные возможности по управлению устройствами при очевидной простоте исполнения
— что еще более ее усугубляет — IOS устройства не логируют изменение конфигурации по SNMP, что ведет к совершенно непонятным причинам проблем. Это поведение будет исправлено и по этому поводу уже заведен баг.

Хотелось бы так же подчеркнуть что совершенно не стоит негодовать и писать о том что держать открытой наружу snmp community может только дилетант, автор и сам в курсе. Но, уважаемые друзья, вы бы были удивлены насколько большие, важные и профессиональные люди пострадали, продалжают страдать и как их много оказалось.
В условиях когда администрировать приходится сотни устройств что-то можно и упустить, так что проверить все еще раз не помешает, а так же возможно кому-то это поможет понять что недавно случилось с его дорогим и мощным пограничным оборудованием.

Оригинал в блоге Cisco:
blogs.cisco.com/security/snmp-spike-in-brute-force-attempts-recently-observed
Теги:
Хабы:
Всего голосов 8: ↑5 и ↓3+2
Комментарии7

Публикации

Истории

Работа

Ближайшие события

15 – 16 ноября
IT-конференция Merge Skolkovo
Москва
22 – 24 ноября
Хакатон «AgroCode Hack Genetics'24»
Онлайн
28 ноября
Конференция «TechRec: ITHR CAMPUS»
МоскваОнлайн
25 – 26 апреля
IT-конференция Merge Tatarstan 2025
Казань