Дыры в протоколе делают возможной организацию DoS-атак

Ошибки в реализации протокола SNMP (Simple Network Management Protocol) во многих продуктах могут позволить хакерам организовать DoS-атаки, получить контроль над системами и угрожать стабильности работы Internet. Об этом заявили представители центра компьютерной безопасности CERT/CC. По данным CERT/CC, информация об этих дефектах уже начала распространяться в сообществах хакеров, и администраторам следует оперативно устанавливать имеющиеся заплатки. Одна из компаний, специализирующихся на вопросах защиты, — TruSecure уже получила документы и инструментальные средства из тайных источников, оценивающих знания хакеров по этим вопросам.

SNMP — протокол, используемый многими производителями для того, чтобы предоставить администраторам возможность удаленно контролировать и конфигурировать сетевые устройства, в том числе маршрутизаторы, коммутаторы и операционные системы.

«SNMP применяется очень широко, — заметил Русс Купер, начальник медицинской службы компании TruSecure. — Он используется в большинстве компаний и, безусловно, всеми Internet-провайдерами».

Дефекты впервые были найдены группой Secure Programming Group Университета Оулу (Финляндия). В частности, ошибки касаются способа, с помощью которого реализации SNMP обрабатывают предупреждения и сообщения об ошибках, а также запросы.

Дефекты особенно серьезны, поскольку, как заявили представители CERT/CC, «многие из продуктов, в которых есть эти изъяны, используются для основных служб инфраструктуры Internet, а крупномасштабные перебои в работе этих устройств могут привести к выходу из строя значительных фрагментов глобальной сети».

Несмотря на то что эти ошибки могут привести к серьезным проблемам, Купер считает, что последствия отказов будут не столь серьезны, как эффект от воздействия таких ?червей?, как Code Red или Nimda. Эти ситуации, по его словам, серьезно различаются. Поскольку уязвимыми могут оказаться сотни продуктов, будет сложно, если вообще возможно, создать код автоматизированной атаки, способный работать на всех.

Однако Марти Линдер, руководитель группы разбора инцидентов центра CERT/CC, в этом не уверен. По его словам, могут быть созданы инструментальные средства автоматизации атак, учитывающие эти дефекты.

Линдер считает, что очень сложно сравнивать эти ошибки в реализациях с Code Red и Nimda, однако потенциальному риску в данном случае подвергаются очень многие устройства.

Учитывая это, администраторам необходимо ознакомиться с материалами CERT/CC и найти время, чтобы в них разобраться, поскольку не существует одной заплатки, которая позволяла бы полностью решить проблему.

Обнаруженные дефекты проявляются в продуктах таких производителей, как Avaya, 3Com, Caldera, Cisco Systems, Compaq, Computer Associates, Hewlett-Packard, Juniper Networks, Lotus, Lucent, Microsoft, Netscape, Nokia, Novell, Silicon Graphics и Sun Microsystems. Различные производители по-разному отреагировали на сообщения об обнаруженных дефектах, а многие из них уже предлагают заплатки.

Несмотря на это, задача, стоящая перед сетевыми администраторами, остается непростой. Им придется устанавливать заплатки и вносить изменения в устройства самых разных типов, распределенных по всей сети, причем изменения эти могут оказаться достаточно сложными.

Компания TruSecure получила копию комплекта тестов, созданного группой из Университета Оулу благодаря ее контактам в сообществе хакеров. Это свидетельствует о том, что потенциальные организаторы атак уже знают о дефектах и, возможно, уже работают над созданием соответствующих инструментальных средств. Но тесты занимают много времени и, скорее всего, не дают потенциальным хакерам достаточно полезную информацию, поэтому вряд ли такие атаки будут организованы в ближайшее время.

Тем не менее, как заметил Купер, «чем раньше вы позаботитесь о том, чтобы устранить эти дефекты, тем лучше».

CERT/CC, группа из Оулу и многие компании занимаются решением этого вопроса уже несколько месяцев. Финская группа обнаружила эти дефекты в середине прошлого года и связалась с CERT/CC, который с этого момента стал работать над устранением недочетов вместе с производителями. Недавно об этом стало известно столь широкому кругу пользователей, что было принято решение подготовить специальный материал, посвященный данному вопросу, и поставить всех в известность о потенциальной опасности.

«SNMP разрабатывался без учета вопросов защиты. То же самое касается и более ранних протоколов», — заметил Купер. SNMP не поддерживает обязательную аутентификацию пользователей, данных или систем и посылает их запросы и сообщения, по существу, в открытом, незашифрованном виде.

Такого же мнения придерживается и Линдер, назвавший SNMP «практически незащищенным протоколом». По его словам, хотя существуют и другие, более защищенные версии SNMP, они не получили такого широкого распространения, как первая и наименее безопасная версия.

«Дефекты SNMP существуют, как и сам протокол, почти десять лет, и ни один из сотен производителей не сделал ничего, чтобы ликвидировать их», — заметил Купер.